Injection SQL sur les radars automatiques!

    12:21 23 03 2010

On ne le répète jamais assez, il ne faut jamais faire confiance aux données en provenance des utilisateurs.
Et l’origine de ces données ne se limite pas à POST et GET!

Des petits malins se sont inspirés de cet adage pour tenter t’attaquer les radars fixes :

injection sql radar fixe

injection sql radar fixe

Bien sûr, je pense qu’il s’agit plus d’une blague que d’une véritable tentative d’attaque mais je trouve l’idée vraiment inventive.

Source : http://www.tux-planet.fr/comment-pirater-un-radar-automatique/



Premier post à 10 000 pieds d’altitude

    08:49 5 12 2009

Je viens d’entamer mon périple pour revenir du Web Development summit, quelques 22 heures pour faire Seattle -> New-York -> Paris avec dix heures d’escale dans l’aéroport de la grande pomme.

Je suis actuellement dans l’avion entre Seattle et New-York, siège 20C, nous avons décollé depuis 20 minutes…et je suis connecté en wifi!

Alors qu’en France, il est encore rare d’avoir une prise électrique dans un TGV, de l’autre côté de l’atlantique, les avions sont équipés en internet haut débit. Non pas que je veuille être critique envers la France – dans bien des domaines nous sommes au même niveau voir en avance sur les autres – mais là, je suis bluffé par le décalage.

Je ne voudrais pas dire de bêtises, je viens donc de faire une recherche sur Google pour vérifier si cela n’existerait pas également en France, il est vrai que je ne prends pas l’avion si souvent que cela et que certaines lignes sont peu être également équipées. Tout ce que j’ai trouvé, c’est le blog d’une personne tout excité, en Février 2008, d’expérimenter la première et unique ligne d’Air France permettant d’envoyer des textos et de faire du WAP en plein vol…MDR, du WAP, je ne savait pas que cela existait encore!

Faisons quelques tests. Je vais commencer par accéder à mon Facebook. La page d’accueil me dit « Vous vous connectez d’un endroit inhabituel. Par sécurité, veuillez confirmer votre compte ». Tu m’étonnes que je me connecte d’un endroit inhabituel, je suis à plus de 10 000 pieds d’altitude, me déplaçant à une vitesse de 700 km/h.

Petit test de performance sur YouTube. Les videos sont super fluides, pas de latence, c’est plus rapide qu’à mon bureau.

Bien sûr, tout cela n’est pas gratuit, 10$ pour la durée d’un vol mais heureusement, le temps du décollage, j’ai feuilleté le magasine de la compagnie, vous savez le truc qui se trouve dans la poche du siège devant vous, généralement plié en deux, bourré de pubs et qu’on ne lit jamais.
Bien là, je ne sais pas pourquoi, je l’ai parcouru et suis tombé sur une pub pour le service internet en question avec un code permettant de se connecter gratuitement la première fois (« DELTATRYGOGO » pour ceux que ca intéresse).

Sur ce, je vous laisse, je vais lire mes mails et continuer mon vol sur internet…



« The Stompers! »

    21:17 31 08 2009

J’étais en train de jouer avec mon fils et son super Quad spider-man à piles qui avance tout seul, quand tout à coup, un mot venu de mon enfance a surgit dans mon esprit, « stompers ».
Un coup de recherche Google et tout revient. Les courses avec mon frère, les combats en face à face, les versions étanches pour jouer dans la piscine…

Les stompers étaient des jouets à la mode aux US au début des années 80. Il s’agissait de mini 4×4 (10-15 cm) à grosse roues qui avançaient tout seuls grâce à des piles. Certains disposaient même de plusieurs vitesses!

Vraiment de bons souvenirs. Je me demande si cela a existé en Europe.

Quelqu’un qui s’en souvient?



Débugger avec WampServer, Xdebug et PDT

    17:30 28 08 2009

Pour la plupart des projets, l’utilisation de echo et de var_dump() suffit pde our debugger vos scripts. Le mode web est en « page à page », il est donc rare d’avoir des scripts de plusieurs milliers de lignes comme on pourrait en avoir avec les langages compilés. Il peut toutefois parfois être intéressant de faire du debuggage pas à pas et de pouvoir jouer avec les valeurs de vos variables. Je me propose donc de vous montrer comment configurer cela avec WampServer, l’extension XDebug et l’IDE PDT (Php Developpment Tool).
 
 
INSTALLATION DE XDEBUG AVEC WAMPSERVER

Commençons par installer l’extension XDebug. XDebug permet de faire trois choses :

- améliorer la gestion des erreurs de PHP (afficher plus d’informations lors d’erreurs PHP, optimisation de la présentation de var_dump());

- faire du profiling (à utiliser avec kcachegrind ou wincachegrind);

- debugger vos scripts.

Téléchargez l’extension sur le site de XDebug : http://www.xdebug.org

ATTENTION : pensez bien à télécharger la version qui correspond à la branche de PHP que vous utilisez (PHP 5.2 ou PHP5.3) et à prendre la version thread-safe.

A l’heure où j’écris ces lignes,
pour PHP 5.2 : http://www.xdebug.org/files/php_xdebug-2.0.5-5.2.dll
pour PHP 5.3 : http://www.xdebug.org/files/php_xdebug-2.0.5-5.3-vc6.dll

XDebug n’est pas un extension standard de PHP, nous n’allons donc pas la mettre dans le répertoire /ext/ de PHP afin d’éviter d’éventuels conflits avec le menu de WampServer. Je vous propose donc de la déposer dans le même répertoire que l’exécutable de PHP (php.exe), typiquement :

c:\wamp\bin\php\phpx.x.x\

Renommez l’extension en php_xdebug.dll, elle sera plus facile à manipuler.

Nous allons maintenant l’activer. Pour cela nous allons devoir ajouter des commandes dans le fichier php.ini. Dans WampServer, le fichier php.ini utilisé se trouve dans le même répertoire que le binaire d’Apache (apache.exe). Le plus simple pour l’ouvrir est de passer par le menu de WampServer.

WampServer

Allez à la fin du fichier et ajoutez les lignes suivantes :

zend_extension_ts="c:/wamp/bin/php/phpx.x.x/php_xdebug.dll"
xdebug.remote_enable=1
xdebug.remote_host="127.0.0.1"
xdebug.remote_port=9000
xdebug.remote_handler="dbgp"
xdebug.remote_mode=req

où x.x.x est votre version de PHP.

En complément, vous pouvez également ajouter

xdebug.profiler_enable = 1
xdebug.profiler_output_dir = "c:/wamp/tmp/"

afin d’activer les fonctions de profiling, ou encore

xdebug.collect_params = On
xdebug.show_local_vars = On

afin d ‘améliorer les informations fournies lors de l’affichage des messages d’erreur.

Une fois ces lignes ajoutées, refermez le fichier php.ini et redémarrez votre service Apache, XDebug devrait maintenant être chargé.

Pour le vérifier, affichez votre phpinfo(). Vous devriez voir apparaître l’information ci-dessous :

phpinfo

Si ce n’est pas le cas, vous avez certainement fait une erreur dans le chemin d’accès au fichier php_xdebug.dll

A ce stade, vous pouvez dors et déjà profiter des fonctions d’amélioration des messages d’erreur de XDebug. Pour cela, essayez d’afficher un message d’erreur et un var_dump().
 
 
CONFIGURATION DE PDT AVEC XDEBUG

Nous allons maintenant configurer PDT pour qu’il utilise les fonctionnalités de debuggeur de XDebug.

Si ce n’est pas déjà fait, commencez par télécharger et installer PDT : http://www.eclipse.org/pdt/

Lors du lancement de PDT, choisissez « c:\wamp\www » comme WorkSpace.

Dans le menu du haut, choisissez window -> preferences.

preferences eclipse

Rentrez maintenant dans le menu « PHP » et cliquez sur « debug ».

debug eclipse

Il existe deux façons de debugger du PHP avec PDT. La première (server) passe par votre serveur web en faisant un appel à localhost. La deuxième (PHP executable) fait un appel direct à l’exécutable de PHP.
Nous allons travailler avec la première solution qui nous offre plus de fonctionnalités et permet, notamment, d’utiliser les méthodes GET et POST.

Par défaut, PDT est livré avec des configurations type pour fonctionner avec XDebug et Zend Debugger. Comme le montre la capture d’écran ci-dessus, choisissez XDebug.

Si votre serveur n’est pas local (localhost), il faudra également modifier la configuration de votre serveur identifié sous PDT par « Default PHP Web Server« .

Voilà, la configuration de base de PDT est terminée, nous allons maintenant pouvoir utiliser PDT pour debugger en mode pas à pas et avec des points d’arrêt.
 
 
UTILISATION DE PDT COMME DEBUGGEUR

Voyons maintenant comment utiliser tout cela. La première chose à faire est de créer un nouveau projet PHP au sein de PDT. Pour cela cliquez sur file -> new -> PHP Project.

Donnez un nom à votre projet (dans la suite de cet article, notre projet s’appellera « test_debug »).
Un répertoire du même nom va être automatiquement créé dans votre répertoire « www ». Vous allez placer ou créer vos scripts PHP dans ce répertoire. Si nécessaire, appuyez sur F5 dans PDT pour que vos scripts apparaissent.

projet eclipse

Ouvrez votre script PHP en double cliquant dessus. Votre code source devrait apparaître dans la fenêtre centrale de PDT.

Nous allons maintenant passer en mode debuggage. Cliquez sur l’icône en forme d’insecte sur la barre d’outil et choisissez Debug As -> PHP Web Page.

eclipse debug as

Cela devrait ouvrir une fenêtre de votre navigateur par défaut (Firefox par exemple) et vous faire basculer sur une perspective de debuggage dans PDT (vous pouvez retrouver les perspectives en haut à droite de PDT).

eclipse perspective debug

Cette perspective est découpée en 5 fenêtres :

- en haut à gauche, une fenêtre de « debug » qui vous donne des informations sur le debuggage en cours et dispose de la barre d’outils de debuggage.

- à droite de cette fenêtre, une autre qui vous donne accès aux variables de votre script et aux points d’arrêt définis.

- en dessous, une fenêtre qui présente votre code, vous montre la ligne courante et permet de définir/annuler des points d’arrêt

- encore en dessous, la fenêtre de console.

- et enfin, à droite, la fenêtre d’Output.

Pour debugger, utilisez la barre d’outils de la fenêtre « debug ».

barre outil debug

Vous pouvez également ajouter des points d’arrêt dans votre code. Pour cela double-cliquez sur la barre grise se trouvant à gauche de votre code (idem pour retirer les points d’arrêt). Des petites boules vont apparaitre pour signaler ces points d’arrêt.

point arret

Au fur et à mesure que vous allez avancer dans le debuggage de votre page, vous pourrez voir le résultat s’afficher directement dans votre navigateur.
 
 
MODIFIER LES VARIABLES EN COURS DE DEBUGGAGE

Il va souvent être utile de modifier le contenu de vos variables en cours de debuggage. Pour cela sélectionnez la variable souhaitée dans la fenêtre d’affichage des variables et modifiez simplement sa valeur.
 
 
TRAVAILLER AVEC GET ET POST

En utilisant PDT avec XDebug, j’ai rapidement eu besoin de jouer avec les tableaux $_GET et $_POST. Malheureusement, je n’ai rien trouvé à ce sujet dans la doc ou dans Google. J’ai toutefois persisté et ai trouvé une astuce pour pouvoir m’en servir.

Commençons par $_GET. Pour le remplir, faites tourner le débuggeur sur votre script et allez jusqu’au bout de votre script. Allez ensuite dans la fenêtre de navigateur ouverte par le debuggeur. Vous devriez vous retrouver avec une barre d’URL de ce type :

url debug

Ajouter les variables que vous souhaitez dans cette url et relancez la page. Retournez maintenant dans PDT, et, magique…la session de debuggage est relancée et les variables sont maintenant disponibles sous $_GET.

Pour $_POST, lancez un debuggage sur le formulaire permettant de faire votre POST et allez au bout du script. Allez dans la fenêtre de navigateur, votre formulaire sera affiché. Remplissez le et validez le. Retournez dans PDT, vous devriez maintenant avoir une session de debuggage sur le script de réception du formulaire.

Il existe certainement d’autres méthodes plus simples pour utiliser nativement $_GET et $_POST avec PDT et XDebug, si vous les connaissez, n’hésitez pas à ajouter votre commentaire à cet article.

De mon côté, j’ai trouvé une autre solution plus efficace et plus pratique pour gérer mes sessions de debuggage, l’utilisation de l’extension XDebug Helper pour Firefox.
 
 
UTILISATION DE L’EXTENSION XDEBUG HELPER POUR FIREFOX

L’extension XDebug Helper pour Firefox va vous permettre de lancer vos sessions de debuggage directement depuis Firefox.

Commencez par installer l’extension que vous pourrez trouver ici :

https://addons.mozilla.org/fr/firefox/addon/3960

Cela va ajouter deux icônes en bas à droite de Firefox.

boutons xdebug

Le premier bouton va vous permettre de lancer des sessions de debuggage. Pour cela, il va falloir configurer PDT pour qu’il accepte le lancement externe de sessions de debuggage. Retourner donc dans la configuration de PDT :

Window -> preferences
puis PHP -> debug -> Installed Debuggers

installed debuggers

Sélectionnez « XDebug » et cliquez sur « configure« .
Dans le menu déroulant « Accept remote session (JIT) » sélectionnez « localhost » (ou « any » si votre serveur est distant).
Vous allez maintenant pouvoir lancer vos sessions directement depuis Firefox.

Pour cela, cliquez sur le bouton de XDebug Helper qui ressemble à une croix dans Firefox (en bas à droite). Celui-ci devrait devenir vert et jaune.

debug actif

Tapez l’URL du script que vous souhaitez debugger(ex : http://localhost/….) et lancez son execution. Retournez dans PDT, votre session de debugage devrait être lancée.
 
 
CONCLUSION

J’espère que ce petit tutoriel vous permettra de développer plus efficacement. A mon avis, tout développeur devrait avoir XDebug installé par défaut. J’ai bien pensé à le fournir directement avec WampServer, mais pour le moment, la structure de WampSever et son mode de fonctionnement « multi-PHP » ne me le permettent pas. Peut être dans une version future…



Nancy Botwin revient!

    18:58 29 05 2009

Plus qu’une semaine à attendre avant le retour de mon émission de jardinage préférée :

http://www.sho.com/site/weeds/home.do



PHP à l’Ile Maurice

    18:31 2 02 2009

Je reviens tout juste de mon voyage de noces à l’île Maurice, le pays le plus accueillant au monde!

Je pensais que le paradis n’existait que dans les livres ou sur les cartes postales, en fait, il est tout simplement de l’autre côté de la planète.

Bien sûr et comme à mon habitude, j’en ai profité pour faire la promotion de notre langage préféré (et de ma boite au passage).

Extraits choisis :



Sortie du livre Français sur le Zend Framework

    15:21 10 11 2008

Le livre de mon collègue et ami Julien PAULI est sur le point de sortir aux édition Eyrolles et sera disponible dés cette semaine au format PDF :

Livre Zend Framework

Livre Zend Framework

http://www.eyrolles.com/Accueil/Livre/9782212123920

Ecrit à 4 mains avec Guillaume PONCON (déjà auteur du livre Best Pratices PHP5), ce livre est le premier en Français permettant de prendre en main ce Framework Open Source développé par Zend en collaboration avec la communauté PHP.

Il va de soi que ce livre va maintenant être offert à tous les participants à notre formation Zend Framework.

A noter également que Julien et Guillaume seront présents au forum PHP 2008 et pourront y dédicacer leur ouvrage, venez donc nombreux!



Alter Way remporte le marché SAMOD

    14:49 18 09 2008

Alter Way (le groupe qu’Anaska à rejoint) vient de signer une très belle affaire via l’entité Solinux : l’installation et le pilotage à distance de quelques 80 000 compteurs à gaz intelligents .
Une bonne partie du développement est basé sur PHP et PostgreSQL.

Encore une utilisation « hors web » de notre techno préférée dans un cadre critique. Tous les détails dans le CP officiel ci-dessous :

Le groupe Alter Way, intégrateur de solutions Open Source et acteur majeur du Libre en France, annonce la signature d’un contrat stratégique avec le GAELD (Groupement d’Achat des Entreprises Locales de Distribution), dans le cadre de la modernisation des compteurs d’énergie.

En adoptant une technologie à code ouvert (dont PHP et postgreSQL) dans un domaine jusqu’alors réservé aux solutions propriétaires, le GAELD s’assure ainsi la maîtrise de l’évolution de sa plate-forme et la pérennité de ses équipements.

A l’occasion de la future mise en place des nouveaux compteurs intelligents, et suite à un appel d’offre européen, le groupement d’achat GAELD (réunissant la Régie d’électricité de LOOS, le Gazelec de Peronne, Energies et Services de Creutzwald, Energies et Services de Lavaur) a retenu le groupe Alter Way via sa filiale régionale Solinux, spécialiste de l’infogérance des systèmes et de l’intégration de solutions Open Source.

Solinux aura en charge le développement applicatif et l’infrastructure réseaux qui permettront à terme la gestion automatisée à distance de plus de 80 000 compteurs du constructeur américain Echelon, et sera responsable de son infogérance globale. En adoptant une technologie à code ouvert (dont PHP et postgreSQL) dans un domaine jusqu’alors réservé aux solutions propriétaires, le GAELD s’assure ainsi la maîtrise de l’évolution de sa plate-forme et la pérennité de ses équipements.

« Nous avons souhaité avoir un logiciel à la carte adapté à nos spécificités. La solution proposée par Solinux du groupe Alter Way nous a séduits par : l’adaptation précise de l’offre par rapport au cahier des charges, le fait d’être propriétaire des sources et l’engagement fort de toute l’équipe Alter Way », explique Michel Fruchart, Directeur du Gazelec et coordinateur du GAELD.

Ce projet intégrera de nombreuses innovations technologiques, dont l’objectif principal est d’ajuster la consommation d’énergie. Il permettra en outre la télérelève des indices de consommation d’électricité, d’eau et de gaz, et intégrera les fonctionnalités liées aux applications domotiques.

« Notre appartenance au groupe Alter Way nous donne la possibilité de conduire des projets de grande ampleur. Nous sommes ravis de pouvoir apporter des solutions alternatives sur des marchés jusqu’alors réservés au monde propriétaire, d’autant plus que nous serons les premiers en France au coté du GAELD à déployer un parc de compteur AMM (Automated Meter Management) », déclare Arnaud Duhamel, associé du groupe Alter Way en charge de Solinux.

« Ce contrat confirme la compétitivité technique et économique des solutions Open Source proposées par notre groupe. Nous sommes aujourd’hui l’alternative crédible et pérenne aux acteurs traditionnels », ajoutent Philippe Montargès et Véronique Torner, fondateurs et dirigeants du groupe Alter Way.



Visite guidée de notre maison de vacances par Adam, Sandrine et Diane

    12:26 2 09 2008



Dexter bientôt de retour

    19:53 13 08 2008

Plus que quelques semaines d’attente avec que Dexter ne revienne dans une saison 3 dont voici la premier teaser :

J’espère vraiment que cette troisième saison sera aussi bien que les deux premières. Reprise officielle le 28 Septembre, j’ai hâte d’y être (enfin, après mes vacances quand même).