PRATIQUE PHP 
Tester sa configuration serveur avec PHPSecInfo
 
"Je veux m'assurer que mon serveur PHP est sécurisé au maximum. Dois-je obligatoirement passer par la lecture de php.ini ?" (26/10/2006)
  Forum

Réagissez dans les forums de JDN Développeurs

Quasiment tous les développeurs PHP connaissent la fonction phpinfo(), la manière la plus simple de savoir à quoi PHP à accès sur le serveur : extensions, outils, versions, etc. Partant de là, il leur est possible d'exploiter au mieux leur hébergement, en utilisant des fonctions PHP avec l'assurance qu'elles fonctionneront.

C'est sur cette idée que Ed Finkler, développeur au centre de sécurité de l'université de Purdue, a conçu PHPSecInfo, un outil d'évaluation de la configuration PHP d'un serveur Web, adopté officiellement par le PHP Security Consortium. Sous la forme d'un script PHP disposant de nombreux tests - l'utilisateur pouvant en fournir d'autres au besoin, PHPSecInfo affiche pour chaque réglage de php.ini, un commentaire sur sa sécurité, avec conseils et suggestions, le tout accompagné de codes de couleur pour discerner rapidement les besoins pressants.

Exemple de résultat des tests PHPSecInfo

En pratique, il s'utilise en copiant les fichiers sur le serveur, et en appelant la fonction phpsecinfo(), ce qui le rend accessible à tous.

La cible reste évidemment les utilisateurs lambda qui n'ont pas le temps de se plonger dans les méandres du fichier php.ini, et obtiendront avec PHPSecInfo des réponses rapides, mais l'outil peut également profiter autant aux développeurs chevronnés qu'aux hébergeurs eux-mêmes.

 
Xavier Borderie, JDN Développeurs
 
 
Accueil | Haut de page