PHP6 : plus de magic_quotes
En effet, en dehors des chaînes de caractères
Unicode, il ne semble pas y avoir beaucoup d'évolutions. Que nenni ! PHP 6 n'apporte
certes pas beaucoup de fonctionnalités, mais par contre va modifier certains
comportements qui feront de cette version, une bombe atomique !
Par bombe atomique, je n'entend pas parler d'un
super-truc-génial qui va révolutionner le monde, mais bien d'un changement de
comportement qui sera générateur de beaucoup de problème et ouvrira les portes
de l'anarchie numérique pour le bon plaisir des pirates.
Effectivement, PHP 6 va supprimer purement et
simplement les magic_quotes, qui, je vous le rappelle, sont désactivées par
défaut dans les versions 5, mais que tout le monde s'empresse de réactiver par
souci de compatibilité et de sécurité.
Actuellement, peu de personnes ne se soucie
des problèmes d'injection SQL car sans le savoir (ou pire, par fainéantise) les
magic_quotes les en protège en partie. Je n'ai pas fait d'enquête, mais j'estime
que 80% des développeurs PHP ne font pas attention aux problèmes d'injection
SQL. Cela veut donc dire que sans une meilleure communication, les personnes
qui vont passer au PHP6 vont ouvrir des failles de sécurité larges comme des A380.
PHP 6 devrait-il donc s'accompagner d'un
permis de développer obtenu après un contrôle des connaissances dans le domaine
de la sécurité ? Non, je pense tout simplement que PHP 6 mettra un temps
infiniment long à s'imposer (jamais ?) car les hébergeurs ne voudront pas
prendre le risque de le déployer.
Comme vous pouvez le constater, cet article n'est
pas un tutorial, mais sert de point d'introduction à une série d'articles dont
l'objectif sera de vous expliquer les différents problèmes de sécurité des
applications PHP et comment se préparer au passage vers PHP 6.
:: 
