« Certains de mes champs POST sont ignorés par PHP ! »

21 avril 2012PHP / SQLolivier

J’ai eu ce genre de message plusieurs fois de la part de clients ces derniers temps, et je pense que cela peut concerner beaucoup de monde donc je vous donne les explications.

Le symptôme est simple : « Les X premiers champs envoyés en POST sont bien lus par PHP, mais à partir d’une certaine limite ceux-ci ne sont plus disponibles. » Ou formulé autrement : « il me manque une partie des champs POST ».

Le plus curieux dans cette histoire, c’est que votre code PHP fonctionnait très bien il y a quelques semaines, et là d’un seul coup, plus rien. Que s’est-il passé ?

Vous n’êtes pas en tord, et pourtant il va vous falloir faire des modifications sur la config de PHP 🙂 Le coupable ? Un trou de sécurité dans PHP assez sérieux, qu’il a fallu corriger rapidement et donc … de manière un peu abrupte. Les curieux pourront lire le rapport de sécurité ici : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-4885

Pour résumer en quelques mots : il s’agit d’une attaque par amplification. Une personne avec de mauvaises intentions peux envoyer un formulaire avec un certain formatage à votre serveur web, et PHP va mettre plusieurs minutes à la traiter … Multipliez ça par quelques centaines, et voilà votre hébergement dans les choux pour plusieurs heures. Je ne vous expliquerais pas dans cet article comment exploiter cette faille 😉

Pour limiter le champs de l’attaque, l’équipe de développement PHP a mis en place une limite simple : A partir de 1000 champs POST (d’ailleurs, c’est la même limite sur des cookies ou GET), PHP ignore tous les champs suivants. Donc si vous avez un très grand formulaire avec des milliers de champs, il va vous en manquer un bout.

Normalement, PHP vous prévient qu’il a dû tailler dans le vif avec ce message d’erreur : Input variables exceeded 1000. To increase the limit change max_input_vars in php.ini.

Cela vous explicite donc le correctif : il suffit de modifier (ou plutôt ajouter, car je doute que vous l’ayez déjà) la variable max_input_vars dans votre fichier de configuration php.ini (qui se trouve généralement dans /etc sous Linux) et de lui mettre une grande valeur qui permettra à votre formulaire de fonctionner.

Et c’est tout ?

Oui, mais prenez garde : cette limitation était une limite de sécurité. Donc augmenter la limite vous expose à l’attaque initiale. D’expérience, vous pouvez monter à 5000 ou 10000 si vous avez des configurations relativement récentes. Au delà, c’est à vos risques et périls.

Comprendre les statistiques NFSD sous Linux

11 avril 2012Divers informatiqueolivier

Les statistiques du serveur NFS sont accessibles dans le fichier /proc/net/rpc/nfsd ; c’est ce fichier qu’il faut lire si vous avez votre propre programme de monitoring et qu’il vous faut les valeurs « brutes ». Si c’est pour une lecture par un humain, l’utilitaire nfsstat est là pour ça. Petit tour d’aperçu des deux outils

Continuer la lecture de Comprendre les statistiques NFSD sous Linux →

DiRT 2 : la petite claque graphique

22 juillet 2009Generalolivier

J’attends avec impatience la sortie de DiRT 2, tellement les screenshots et vidéos ingame paraissent incroyables. Quelques aperçus dans ce billet.
Continuer la lecture de DiRT 2 : la petite claque graphique →

in_array et le mode strict

9 mars 2009PHP / SQLPHPolivier

[La fonction in_array|http://fr.php.net/in_array|fr] peut avoir un comportement tout à fait étrange lorsqu’on utilise la syntaxe par défaut, qui fait une vérification non stricte : @@var_dump(in_array(‘mouhahaha’,array(0,1,2))); // bool(true)@@%%% Et oui, mon texte est dans ce tableau d’après PHP. Etonnant, non ? Tout simplement parce que PHP va essayer de convertir (cast) les types avant de les comparer. Ma chaîne de caractère, à un moment, vaut ‘true’ et mon 1 vaut ‘true’ aussi, d’où l’égalité.%%% Par contre, si on met les nombres entre quotes comme ceci : @@var_dump(in_array(‘mouhahaha’,array(‘0′,’1′,’2’))); // bool(false)@@%%% Car les chaines étant de même type (string), aucun cast n’a lieu. Pour éviter les effets de bords et autres mauvaises surprises, utilisez le mode strict qui va également comparer le type de la variable. Pour cela, ajouter un 3e argument à in_array comme ceci : %%% @@var_dump(in_array(‘mouhahaha’,array(0,1,2), true)); // bool(false)@@

Stockage de nombre à virgules dans MySQL

21 février 2009PHP / SQLfloat, MySQLolivier

Pour stocker un nombre à virgule (un flottant, ou float en anglais) dans MySQL, il existe plusieurs types de colonnes. Mais attention : ils ne sont pas tous identiques. Petite démonstration simple : %%% * Prenons une table ‘test’, avec entre autre un champ de type FLOAT(8,2). * Executez la requete suivante : %%% @@INSERT INTO `test` (id, flottant) VALUES(4,’446351.74′);@@ %%% * Puis relisez la ligne : @@SELECT * FROM `test` WHERE id=4@@ Voici le résultat:%%% @@446351.75@@ Comment ?? ,75 et non ,74 comme je l’ai demandé ? Et oui, normal vu la méthode de stockage qu’utilise MySQL.
Continuer la lecture de Stockage de nombre à virgules dans MySQL →

Différence entre static:: et self:: en PHP 5.3

17 décembre 2008PHP / SQLolivier

Grâce au Late Static Binding introduit dans PHP 5.3, la gestion des classes va encore plus loin. Un nouveau mot-clef a été introduit dans le langage, il s’agit de ‘static’. Son utilisation ressemble étrangement à ‘self’, mais il y a une très grande différence entre les deux.

Continuer la lecture de Différence entre static:: et self:: en PHP 5.3 →

Stocker un booléen dans MySQL

18 septembre 2008PHP / SQLenum, MySQL, PHPolivier

J’ai vu pas mal de méthodes pour stocker un booléen dans SQL. Certaines sont vraiment à éviter, d’autres sont plus faciles, etc. Voici mon (humble) avis sur celles à absolument éviter et les bonnes méthodes.
Continuer la lecture de Stocker un booléen dans MySQL →

Attention à l’adresse IP d’un visiteur

7 septembre 2008Informatiqueolivier

Amis webmasters / éditeurs de sites Internet, je suis persuadé que vous récupérez à un moment ou à un autre l’adresse IP du visiteur (à des fins légales entre autre, en cas de soucis avec un membre ou du contenu). Mais comment faites vous ? Dans le site dont je m’occupe, nous avons une routine pour cela. Nous ne l’avions pas codé, et je ne m’y étais jamais interessé de près. Il a fallu un petit évènement pour que je relise le code attentivement.
Continuer la lecture de Attention à l’adresse IP d’un visiteur →

Firefox 3 est là

18 juin 2008Informatiqueolivier

Profitez de cette journée pour télécharger la dernière version de Firefox 3.[|http://webkit.org/perf/sunspider-0.9/sunspider.html|en] L’interface a été revue et est assez agréable : barre d’URL « intelligente » (elle vous fait des suggestions basées sur votre historique de navigation), anti phishing, … Pourtant, ce qui m’a le plus impressionné, c’est la rapidité. Petit test avec [SunSpider|http://webkit.org/perf/sunspider-0.9/sunspider.html|en] : * Firefox 2 : 29134 ms * Firefox 3 : 4934 ms [http://www.mozilla.com/fr/firefox?p=downloadday|http://www.mozilla.com/fr/firefox?p=downloadday|fr]

Le pouvoir disciplinaire

16 juin 2008Generaljuridique, prudhommesolivier

Il n’est jamais inutile de savoir comment peut/doit s’effectuer le pouvoir disciplinaire du chef d’entreprise, d’autant que la législation est assez complexe, notamment en ce qui concerne les délais légaux entre chaque action, et les obligations de l’employeur. Première question : Quel est le degré de la faute ? Cela doit être défini au regard du règlement intérieur, qui est un document écrit, obligatoire dès 20 employés. Il doit être visé par l’inspection du travail qui pourra l’annoter (suppression de mesures prohibés, ou ajout de mesures obligatoires). Dans la suite, j’aborderais l’échelle des sanctions, et les indemnités à verser en cas de licenciement, selon le niveau de la faute.
Continuer la lecture de Le pouvoir disciplinaire →

My thoughts

En français and in english :)