array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'fr', ), 'this' => array ( 0 => 'security.intro.php', 1 => 'Introduction', 2 => 'Introduction', ), 'up' => array ( 0 => 'security.php', 1 => 'Sécurité', ), 'prev' => array ( 0 => 'security.php', 1 => 'Sécurité', ), 'next' => array ( 0 => 'security.general.php', 1 => 'Considérations générales', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'fr', 'path' => 'security/intro.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

Introduction

PHP est un langage puissant et l'interpréteur, qu'il soit inclus dans le serveur web en tant que module ou bien exécuté en tant que binaire CGI séparé, est capable d'accéder aux fichiers, d'exécuter des commandes, et d'ouvrir des connexions réseaux. Toutes ces propriétés rendent fragile la sécurité d'un serveur web. PHP a été conçu comme un langage beaucoup plus sécurisé pour écrire des programmes CGI que le Perl ou le langage C, et, avec une sélection rigoureuse des options de compilation et d'exécution et de bonnes habitudes de programmation, il permet d'obtenir un équilibre parfait entre liberté et sécurité.

Étant donné qu'il existe de nombreux moyens d'utiliser le langage PHP, il existe de nombreuses directives de configuration permettant d'en contrôler le comportement. Un grand nombre d'options permet d'utiliser PHP dans de nombreuses situations, mais signifie aussi que certaines combinaisons d'options de compilation et d'exécution peuvent fragiliser la sécurité du serveur.

La flexibilité de configuration de PHP est épaulée par la flexibilité du code. PHP peut être utilisé pour construire des applications serveur complètes, avec tous les pouvoirs d'un utilisateur shell, ou il peut être utilisé pour de simples SSI (server-side includes) avec peu de risque dans un environnement à sécurité renforcée. La création de cet environnement et sa sécurisation sont largement à la charge du développeur PHP.

Ce chapitre commence par quelques conseils généraux de sécurité, explique les différentes options de configuration et les situations dans lesquelles elles peuvent être utilisées en toute sécurité, puis décrit quelques points à considérer lorsque l'on programme pour différents niveaux de sécurité.