En effet, en dehors des chaînes de caractères Unicode, il ne semble pas y avoir beaucoup d’évolutions. Que nenni ! PHP 6 n’apporte certes pas beaucoup de fonctionnalités, mais par contre va modifier certains comportements qui feront de cette version, une bombe atomique !

Par bombe atomique, je n’entend pas parler d’un super-truc-génial qui va révolutionner le monde, mais bien d’un changement de comportement qui sera générateur de beaucoup de problème et ouvrira les portes de l’anarchie numérique pour le bon plaisir des pirates.

Effectivement, PHP 6 va supprimer purement et simplement les magic_quotes, qui, je vous le rappelle, sont désactivées par défaut dans les versions 5, mais que tout le monde s’empresse de réactiver par souci de compatibilité et de sécurité.

Actuellement, peu de personnes ne se soucie des problèmes d’injection SQL car sans le savoir (ou pire, par fainéantise) les magic_quotes les en protège en partie. Je n’ai pas fait d’enquête, mais j’estime que 80% des développeurs PHP ne font pas attention aux problèmes d’injection SQL. Cela veut donc dire que sans une meilleure communication, les personnes qui vont passer au PHP6 vont ouvrir des failles de sécurité larges comme des A380.

PHP 6 devrait-il donc s’accompagner d’un permis de développer obtenu après un contrôle des connaissances dans le domaine de la sécurité ? Non, je pense tout simplement que PHP 6 mettra un temps infiniment long à s’imposer (jamais ?) car les hébergeurs ne voudront pas prendre le risque de le déployer.

Comme vous pouvez le constater, cet article n’est pas un tutorial, mais sert de point d’introduction à une série d’articles dont l’objectif sera de vous expliquer les différents problèmes de sécurité des applications PHP et comment se préparer au passage vers PHP 6.

Source : PHPfrance