Discussion :

[ericd69]

@tse_jc
oui j'ai bien vu


@grunk
faux ça dépend des versions de php et les hébergeurs en fournissent plusieurs (de la 4.x à la 5.4) et pour citer un exemple ovh le met à "on" par exemple

obsolète et par défaut dans les dernières, n'empêche pas de vérifier...

c'est comme gpc_magic_quotes ou l'extension mysql, c'est obsolète depuis des années mais c'est toujours là!!!!
et ça agit toujours potentiellement donc...

mais combien de devs y font si attention aux changement de versions?

je vais être méchant, mais quand on parle de maitriser un langage, ça serait possible que si tu n'en pratiquais qu'un ou deux et encore... qui peut dire qu'il connait toute les classes, fonction, variable constante ou réglage d'un langage?... et je vais même te dire pire: regarde le nombre de gens de tous niveau (même ingénieur) qui viennent ici pleurer pour une solution sans avoir lu la doc ou, s'il l'on fait, l'avoir comprise... mais c'est pas vraiment ce à quoi poussent les employeurs IT donc il serait plus juste de survole d'un langage ou de bonne connaissance... un neurochirurgien maitrise la neurochirurgie pas tout dans la chirurgie... en informatique c'est pareil...

et quand tu vois le nombre de cms ou bibliothèques qui utilisent encore de vieilles versions de php (4.x, 5.2)... regarde zend, c'est pas si vieux son passage à la version 5.3 et je rappelle qu'on est à la 5.4 au compteur...

tout ça pour dire que tu as une forte hétérogénéité du parc d'hébergement et de technologies dans les projets, surtout anciens certes, mais du coup ça oblige à la vigilance...

après, chacun fait ce qu'il veut...

[grunk]

@tse_jc
oui j'ai bien vu


@grunk
faux ça dépend des versions de php et les hébergeurs en fournissent plusieurs (de la 4.x à la 5.4) et pour citer un exemple ovh le met à "on" par exemple

obsolète et par défaut dans les dernières, n'empêche pas de vérifier...

Après effectivement j'ai la chance de ne travailler que sur des serveurs dédiés et de ne pas être tributaire d'hébergement tiers (j'ai la main sur tous les srv) donc ça na jamais été un problème pour moi.

[tse_jc]

@grunk

Après effectivement j'ai la chance de ne travailler que sur des serveurs dédiés et de ne pas être tributaire d'hébergement tiers (j'ai la main sur tous les srv) donc ça na jamais été un problème pour moi.

Moi aussi je m'occupe de serveurs dédiés dans le cadre de mes solutions logicielles. Mais ne nous fait pas croire stp que sous pretexte que tu gères que tu dédié, que tu es toujours à la dernière version stable de prod sur tous tes composants sur tous tes serveurs.
Pourquoi d'ailleurs toutes les sociétés d'hébergement ne mettent pas à disposition les dernières versions stables de prod sur des produits dont ils ont la resposabilité tels que les mutualisés? Tout simplement car les dernières versions, même de production, sont trop jeunes et peuvent faire l'objet de failles (cf. la dernière de MySQL sur la 5.5 parmis tant d'autres sur d'autres tech), et ils ne veulent pas prendre la responsabilité de faire courrir le moindre risque préjudiciable à leur clientèle. C'est ainsi que sur MySQL chez OVH, les serveurs en prod sont encore en 5.1. Ceux qui veulent tourner sur de la 5.6 libre à eux de prendre leur responsabilités mais en dédié.
D'ailleurs, on s'occupe de serveurs certes, mais ce n'est pas notre coeur de métier. En résumé on a autre chose à faire que de passer toutes nos journées à contrôler tous les patchs de tous les composants en temps réel, ce n'est pas viable. On a besoin de sécurité et de stabilité sur des versions qui ont "vécues" et sur lesquelles on peut dormir sur nos deux oreilles.
Donc en résumé on tourne en moyenne sur une ou deux versions antérieures à la dernière version disponible (sauf sur les bds mis à part MySQL en ce qui me concerne).

EDIT: Et je ne parle pas des mises à jours système/environnement technique qui nécessitent une maj de nos solutions logicielles pour rester compatibles..

[redoran]

@ ericd69
Citation:
les tutos c'est comme la doc, tu n'est jamais à l'abri d'une erreur...
donc faut manipulé avec prudence ; alors je me demande qui les valides !!!! surtout ceux qui se trouve sur le site developpez.com qui est une référence dans la matière (pour les débutant , les étudiants , les amateurs , les experts et ......).
la barre est poussée un peut plus haut.
en résumé un avis de conduite a tenir ou a suivre pour pallier au phénomène des injections sql et surtout pas des tutos

personne ne veut prendre de responsabilité en répondant a mon post #76
là je crois que ceux qui veillent sur le cite et ces publications doivent ajouter au tuto un baromètre de fiabilité du tuto ( bien sur son contenu....).

partant des injection sql jusqu’ au post #83 par tse_jc , que le problème de sécurité ou de vulnérabilité .
d'après mon avis les risques augmentent de jour en jour par le développement des attaquants , en parallèle l'antidote ( ou mesures sécuritaires).... donc le veille technologique du développer doit être a jour sinon le trésor des forums.
sinon :
comprendre les techniques d'attaques pour bien développez son plan de sécurité.
maitrisé le langage de développement pour son exploitation optimale....

[ericd69]

la relecture des autres simplement...

en science, c'est pareil d'où parfois des fausse théorie pendant des siècles (maintenant c'est quasiment impossible que ça dure plus que quelques décennies)...

plus tu es dans des domaines techniques et pointus, moins c'est facile d'être sur de toujours voir toutes les erreurs... car tu ne peux plus avoir une vision totale des choses... tu en survoleras certaines et en maitrisera d'autres et les sujets concernés par tes connaissance et leur niveau varieront (tu ne pratiqueras pas toujours les langages appris uniformément tout le long de ta vie)

donc pour être à jour, il faudrait être dans une équipe qui fait de la veille technologique et organise de la formation interne permanente. sinon on se limite qu'à 1 voir 2 langages qu'il faut pratiquer également et sur lesquels on ne peut néanmoins se passer de veille...

c'est du au fonctionnement du cerveau... puis tu démultiplie les connaissance moins tu les pratiques et donc plus elles sont volatiles... et c'est normal...

l'informatique c'est comme la médecine, les math, la physique... c'est fini l'époque ou tu pouvais maitriser l'ensemble... il faut donc accepter ça et se rendre compte qu'il est nécessaire donc de très régulièrement lire de la documentation et savoir chercher l'information...

j'espère que ça répond à ton post #76...

après là, encore tu ne seras jamais exhaustif... et en fonction des bugs ou loupés des différentes versions de chaque langage tu ne sera jamais à l'abri à 100%

[ascito]

#76

C'est aussi une question de longévité, quand tu regarde bien, tu trouve facilement des tutos pour php4 / php5, et non php5 > ; il faut bien expliquer que la source d'info la plus claire et régulo malgré tout, c'est la partie manuel...

Je défendrais aussi le temps passé par les rédacteurs, relecteurs...
Mais heureusement pour tous que les tutos de bonnes volontés tombent régulièrement; ca permet sur le forum d'avoir un support, alors je suis mitigé sur la question...

[grunk]

@grunk
Mais ne nous fait pas croire stp que sous pretexte que tu gères que tu dédié, que tu es toujours à la dernière version stable de prod sur tous tes composants sur tous tes serveurs.

Est ce que j'ai dit ça à un moment donné ? J'ai juste dit que j'avais la main sur mes serveurs. Donc que par conséquent les configurations sont fait comme je le veux.
Mais même quand j'étais tributaire d'autre serveur , j'ai jamais eu à développé sur une config avec Register_global à on

Après évidemment que tous mes serveurs ne sont pas en 5.4 (aucun d'ailleurs).

[redoran]

@ ericd69

donc pour être à jour, il faudrait être dans une équipe qui fait de la veille technologique et organise de la formation interne permanente. sinon on se limite qu'à 1 voir 2 langages qu'il faut pratiquer également et sur lesquels on ne peut néanmoins se passer de veille...

ta raison et ce qui manque chez nous , o, est obligé de se former en autoformation malgré qu'on a fait de l'université.
@ ascito

Je défendrais aussi le temps passé par les rédacteurs, relecteurs...

je m'inscrit dans la même démarche , et je l'ai remercie pour les efforts déployés un Grand merci

suite au remarques de tse_jc , je fait une petite recherche sur la sécurité des site web est je suis tombé sur ce site :
https://www.owasp.org/index.php/Cate...op_Ten_Project
y a beaucoup de choses intéressantes.

[ABCIWEB]

L'abandon du développement de l'extension mysql est annoncée depuis assez longtemps par contre jamais vu de document "officiel" concernant l'abandon de mysqli, en tous cas ce n'est pas ce qu'indique cette page. Rumeur ou réalité ?

Je me réponds à moi-même : j'ai constaté depuis plusieurs semaines que désormais toutes les fonctions mysql ex mysql_query incluent un encart incitant à ne plus utiliser cette extension au profit de mysqli ou pdo.
On peut en conclure que l'abandon de mysqli n'est pas à l'ordre du jour puisqu' en développement actif et toujours conseillée... Cela reste donc une bonne alternative pour ceux qui voudraient mettre à jour de vieux codes mysql à peu de frais (en peu de temps).

@redoran : Il n'y a pas de doute concernant la qualité du tuto dont tu parle. Il dit que c'est la façon la plus sûre (sans parler des procédures stockées) de se protéger des injections sql et personne ne te dira le contraire. Sinon - et c'est ce que l'on disait plus haut - il faut faire plus attention, mais à cette condition on peut gagner en temps d'écriture et en vitesse d'exécution du script. Il n'y a pas de contradiction