Configuration PHP
Qu'est ce que PHP ?
PHP (venant de l'acronyme récursif PHP: Hypertext Preprocessor), est un langage de scripts libre principalement utilisé pour être exécuté par un serveur Web.
PHP est un langage procédural disposant en version 5 de fonctionnalités de modèle objet complètes. En raison de la richesse de sa bibliothèque, on désigne parfois PHP comme une plate-forme plus qu'un simple langage. (Définition de wikipédia)
Configuration de PHP
“phpinfo()” est une fonction du langage PHP, elle permet de connaître les modules activés, la configuration du serveur, les éventuelles restrictions et limitations ainsi que les paramètres de compilation du langage.
<?php // Affichage des informations sur le PHP utilisé : echo phpinfo(); ?>
Vous pouvez consulter les différents PHPInfo de la plateforme de FranceServ Hébergement à cette adresse :
https://phpinfo.franceserv.fr/
FranceServ Hébergement propose à ses hébergés le choix entre les branches PHP 5.6, 7.0, 7.1, 7.2, 7.3, 7.4, 8.0 et 8.1 dans leurs dernières versions respectives.
Il est possible de choisir la version de la branche du moteur de PHP pour chacun de ses sites internet à l'aide du gestionnaire de son site directement dans son gestionnaire client.
Afficher/masquer les erreurs PHP
Par défaut, les messages d'alertes et d'erreurs PHP ne sont pas affichés pour vos sites Internet afin d'éviter qu'un pirate puisse les utiliser à mauvais escient et qu'il y découvre de potentielles failles de sécurité à exploiter. C'est pour cette raison que lorsqu'il y a une erreur sur une page de votre site, celle-ci peut s'afficher totalement vide sur un fond blanc avec un code HTTP 500 par exemple.
Afficher les erreurs sur un site web est pratique pour comprendre d'où viens un problème mais ça à aussi ses inconvénients. Il est recommandé d'afficher les erreurs que pendant la phase de test. Un site en production ne devrait pas afficher de messages d'alertes ou d'erreurs PHP pour des raisons de performances, de sérieux et de sécurité.
Si vous avez une erreur de développement PHP ou .htaccess, vous avez 2 moyens pour les analyser. Mais avant tout, il vous faut maintenir à jour la ou les solutions Web que vous utilisez afin de suivre les mises à jours.
Manuellement :
Pour qu'un fichier PHP affiche les erreurs PHP, le code suivant est à insérer tout en haut du code de votre page PHP où se trouve l'erreur :
<?php // Afficher les erreurs à l'écran ini_set('display_errors', 1); // Nom du fichier log ini_set('error_log', 'errors.txt'); // Enregistrer les erreurs dans un fichier log ini_set('log_errors', 1); // Afficher les erreurs et les avertissements error_reporting(E_ALL & ~E_NOTICE & ~E_DEPRECATED & ~E_STRICT ); ?>
Pour aller plus loin, sachez qu'il est bon de ne pas spécifier ~E_DEPRECATED dans le error_reporting() afin de vérifier que l'on n'utilise pas de fonctions PHP qui disparaitrons dans les prochaines mises à jour PHP. Ça permet d'anticiper son développement PHP.
Comment utiliser les sessions ?
Les sessions sont un moyen pour conserver des informations pendant une visite.
Les sessions sont activées chez FranceServ Hébergement par défaut.
Vous n'avez pas à créer de répertoire pour vos sessions comme elles sont stockées au sein même du serveur. Vous pouvez y accéder à l'aide des fonctions sessions de PHP mais ne pouvez pas y accéder directement avec d'autres fonctions (fopen etc …)
Un exemple simple :
Créez un fichier start.php (attention a l'extension .php) contenant :
<?php session_start(); session_register ("count"); $count = 42; echo "On enregistre ".$count." <br>"; ?> Pour aller a la page suivante, <A HREF="nextpage.php">cliquez ici</A>
Créez un fichier “nextpage.php” contenant :
<?php session_start(); session_register("count"); echo "La valeur précédente de count etait " . $count ."<br>"; ?>
Téléchargez les fichiers dans votre espace FTP dans le dossier de votre site et faites un test en appelant l'URL correspondante de start.php
Répertoire Racine (DocumentRoot)
Il est primordial de ne jamais utiliser de chemin absolu codé en ‘dur’, car le chemin est susceptible de changer et votre site serait alors inaccessible.
Aussi, vous pouvez(devez) utiliser la variable $_SERVER['DOCUMENT_ROOT'] qui pointe a la racine du site Web dans lequel se trouve votre script, vous serez donc sur de ne jamais avoir de déconvenues.
Exemple : Vous voulez savoir quel est le chemin correspondant a http://www.monsite.ext/unrepertoire/unautrerepertoire/
Il s’agit de $chemin = $_SERVER['DOCUMENT_ROOT'].“/unrepertoire/unautrerepertoire/”;
Connexion à une base de donnée
Les connexions persistantes ne sont pas possibles du fait de l’architecture et sont effectuées en tant que connexion standard.
Temps d’exécution maximum d'un script PHP
Le temps d’exécution maximum d'un script PHP est soit de 3 minutes pour l'offre gratuite, de 6 minutes pour l'offre Standard et de 12 minutes pour l'offre Pro.
La fonction set_time_limit() de PHP ne figure pas/plus parmi les fonctions interdites car elle était trop souvent utilisée à tort afin de définir un temps d’exécution maximum illimité.
Lorsque le temps d’exécution maximum d'un script PHP était redéfinie à l'aide de cette fonction, une alerte apparaissait et beaucoup d'hébergés pensaient y voir soit une erreur (alors que c'était une alerte) ou une limitation (alors que 3 minutes c'est largement suffisant pour un un site web).
Même si cette fonction n'est plus interdite, n’espérez pas non plus faire fonctionner un script PHP pendant plus de votre temps accordé, un robot vérifie et termine de force les scripts PHP excédant ce temps d’exécution maximum.
Uploader des fichiers
L'upload de fichiers via PHP est activé de base et la taille maximale d'un fichier pouvant être envoyé via PHP est de 32 Mo par défaut. Cette limite peut être rehaussée jusqu'à 400 Mo via le PHP personnalisé “.php.ini” à la racine de son site à l'aide des directives upload_max_filesize et post_max_size, par exemple ainsi :
- .user.ini
upload_max_filesize = 400M post_max_size = 400M
La principale source de piratage et de destruction d'un site Internet provient d'un formulaire d'envoi de fichiers non sécurisé.
Pour des raisons de sécurité, il faut veiller à ce qu'un script PHP ne puisse pas envoyer de fichier PHP, car un internaute pourrait utiliser le formulaire d'envoi pour prendre le contrôle total de votre site.
C'est pour cette raison qu'il faut, dans un premier temps, bloquer l’exécution de PHP éventuel dans le répertoire où sont envoyés les fichiers via PHP.
Soit en plaçant un fichier .htaccess dans le répertoire des envois :
<Files ^(*.php|*.phps)> order deny,allow deny from all </Files>
Ou directement à la racine de votre site, ce qui est plus sécurisé :
<Directory /home/web/example/www.example.com/upload> <Files ^(*.php|*.phps)> order deny,allow deny from all </Files> </Directory>
Il ne faut jamais permettre à votre script PHP d'envoyer des fichiers à la racine de votre site.
Vous devez renommer le fichier envoyé avec l'aide de la fonction move_updloaded_file avant la fin de votre script. Le fichier temporaire est effacé à la fin de l'envoi.
Voici un script PHP sécurisé pour permettre l'envoi de fichier image d'extension “.jpg”, de type mime “image/jpeg” et d'un poids inférieur à 350 Ko :
- upload.php
<html> <body> <form enctype="multipart/form-data" action="upload.php" method="post"> <input type="hidden" name="MAX_FILE_SIZE" value="1000000" /> Le fichier image : <input name="uploaded_file" type="file" /> <input type="submit" value="Envoyer" /> </form> </body> </html> <?php // On vérifie que le formulaire est envoyé. if( isset($_POST['uploaded_file']) ) { // On vérifie qu'il y a bien un fichier à envoyer et qu'il ne comporte pas d'erreur. if((!empty($_FILES["uploaded_file"])) && ($_FILES['uploaded_file']['error'] == 0)) { // On pourrait récupérer le type mime du fichier envoyé mais un pirate peut // toujours modifier cette information en HTML. Dans la mesure où l'on // n'accepte que des images dans cet exemple, on va utiliser une fonction // PHP interne qui ne fonctionne qu'avec des images. Cette fonction est // sécurisée car elle est exécutée après l'envoi du fichier dans la zone // temporaire du serveur, il n'est alors plus possible de modifier les // propriétés du fichier pour tromper la mémoire interne. // PS. L'équipe de développement de PHP indique qu'il ne faut pas utiliser // la fonction getimagesize() mais préférer la fonction finfo_open() pour // vérifier un envoi d'image : // $upload_internal = getimagesize($_FILES['uploaded_file']['tmp_name']); // Il est possible d'effectuer de la stéganographie et de tromper la fonction // getimagesize(), alors on procède ainsi : $upload_internal = false; $finfo = finfo_open(FILEINFO_MIME_TYPE); $mimetype = finfo_file($finfo, $_FILES['uploaded_file']['tmp_name']); if ($mimetype == 'image/jpg' || $mimetype == 'image/jpeg' || $mimetype == 'image/gif' || $mimetype == 'image/png') { $upload_internal = true; } // On récupère l'extension du fichier envoyé $filename = basename($_FILES['uploaded_file']['name']); $ext = substr($filename, strrpos($filename, '.') + 1); // On vérifie que : // 1) le fichier interne est une image, // 2) le poid du fichier est inférieur à 350 Ko if ( ($upload_internal) && ($_FILES["uploaded_file"]["size"] < 350000)) { // On détermine où sauvegarder le fichier final $newname = dirname(__FILE__).'/upload/'.$filename; // On vérifie que le fichier final n'a pas déjà été envoyé pour ne pas le remplacer if (!file_exists($newname)) { // On tente de déplacer le fichier temporaire dans son empalcement final if ((move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $newname))) { echo "Le fichier a bien été envoyé et se trouve à cet emplacement : ".$newname; } else { echo "Erreur : Il y a eu un problème lors de l'envoi du fichier !"; } } else { echo "Erreur ! Le fichier ".$_FILES["uploaded_file"]["name"]." existe déjà !"; } } else { echo "Erreur : Seules les images d'extensions .jpg/.jpeg/.png et inférieure à 350 Ko sont acceptées !"; } } else { echo "Erreur : Il n'y a pas de fichier à envoyer !"; } } ?>
Ce script PHP d'upload d'image est sécurisé, car il ne fait pas confiance au navigateur.
Envoyer des emails
La fonction mail() de PHP est activée par défaut. Pour en savoir plus sur son utilisation, merci de consulter le lien suivant :
Envoyer un mail depuis son site avec PHP
Pour information, la fonction mail renvoie TRUE en cas de succès et FALSE si le mail a été bloqué avant son envoi.
Soyez conscient qu'un individu malveillant peut profiter des formulaires de contact pour vous envoyer du spam. En l'appelant plusieurs fois par seconde, il va finir par saturer l'adresse mail que vous avez indiqué. L'ajout d'une procédure de type captcha peut vous aider à éviter ce genre de piratage, et donc vous éviter la suspension ou l'annulation temporaire ou non de votre service mail ou de votre compte.
Créer un formulaire de contact (form2mail)
Nous supposons dans cet exemple que le nom de domaine hébergé est “domaine.ext”.
Créer un fichier “form.html” que vous mettrez en ligne via FTP.
<html> <body> <form action="form2mail.php" method="post"> Entrez votre adresse mail: <input type="text" name="email"><br> Message:<br> <textarea name="message" rows="8" cols="50"></textarea><br> <input type="submit" value="Envoyer le mail"> </form> </body> </html>
Créer un second fichier “form2mail.php” que vous mettrez en ligne via FTP.
<?php /* Initialisation des variables */ $from = "webmaster@domaine.ext"; // l'expéditeur : remplacer ici domaine.ext par votre domaine $to = "vous@domaine.ext"; // le destinataire : mettez ici votre adresse mail valide /* Préparation */ $subject = "Test fonction mail() de PHP"; // le sujet du mail $email = NULL; $message = NULL; /* Récupération du champs email */ if (!empty($_POST['email'])) { $email = $_POST['email'] ; } /* Récupération du champs message */ if ($email && !empty($_POST['message'])) { $message = "Message envoyé par $email :\n" . $_POST['message']; } /* Envoi*/ if ($email && $message) { /* En-têtes obligatoires du message */ $headers = "From: Webmaster <$from>\n"; $headers .= "To: Contact <$to>\n"; /* $headers .= "MIME-Version: 1.0\n"; $headers .= "Content-type: text/plain; charset=iso-8859-15\n"; /* Appel a la fonction mail */ if (!mail($to, $subject, $message, $headers)){ echo "Erreur: Impossible d'envoyer le mail"; } else { echo "Envoi réussi"; } } else { echo "Erreur: vous devez spécifier une adresse email valide et un texte\n"; } ?>
Quand vous transférez votre fichier .htaccess, vérifiez que le mode de transfert FTP est “TEXTE” et non pas “BINAIRE”, sinon vous aurez une erreur http 500.
Le safe mode n'est pas activé.
Astuce :
Remplacez la ligne :
echo "Envoi réussi";
par une ligne du style :
header("location: /envoi_reussi.html");
car en affichant uniquement un echo, le visiteur peut actualiser sa page à l'aide de la touche F5 pour envoyer le mail le nombre de fois qu'il actualise et flooder votre boite mail de contact.
system / exec / popen
Les fonctions PHP systèmes sont possibles chez FranceServ Hébergement, mais elles sont désactivées par défaut pour rendre vos sites indépendants et les cloisonnés pour encore plus de sécurité.
Vous pouvez néanmoins autoriser vos sites à accéder à l’ensemble de votre espace d’hébergement sans aucune limitation et autoriser les fonctions systèmes PHP. Pour ce faire, rendez-vous dans la liste de vos sites https://www.franceserv.fr/gestion/site puis via l'icône de la roue dentée (configuration).
ASP/CGI
Pas d'asp, ni de cgi (cgi-bin), ni de programmes exécutables.
Liste des branches PHP
FranceServ hébergement vous propose différentes branches du moteur PHP dans leurs dernières versions. Il est fortement recommandé de toujours utiliser la branche PHP la plus récente stable afin de bénéficier d'une plus grande sécurité, stabilité et rapidité d'exécution pour votre site Internet.
Pour changer la branche PHP de votre site chez FSH, il vous suffit de vous rendre dans la liste de vos sites via votre gestionnaire client (https://www.franceserv.fr/gestion/site) et de cliquer sur la branche PHP correspondante au site Internet concerné. Vous pourrez alors choisir une autre branche PHP pour votre site Internet puis valider vos modifications.
Attention, sachez qu’il ne suffit pas de changer la branche PHP pour que votre site soit à jour, il vous faut préalablement le mettre à jour (voir la documentation de la solution Web que vous utilisez) avant de changer sa branche PHP. Sans quoi, il se pourrait qu'il ne fonctionne plus correctement sur cette nouvelle branche avec des erreurs HTTP 500 par exemple, car votre site Internet ne serait pas compatible.
Vous pouvez cependant tester que votre site fonctionne correctement sur cette branche PHP et si ce n’est pas le cas, revenir à la branche précédente, mettre à jour votre site Internet avant de réessayer à nouveau de changer de branche PHP pour votre site Internet.
Voici un rappel des branches PHP disponibles :
Branche | Mis à jour jusqu'au | Sécurité jusqu'au | Disponible | Stable | Recommandé |
8.3 | 31/12/2025 | 31/12/2027 | |||
8.2 | 31/12/2024 | 31/12/2026 | |||
8.1 | 25/11/2023 | 31/12/2025 | |||
8.0 | 21/11/2023 | ||||
7.4 | 28/11/2022 | ||||
7.3 | 06/12/2021 | ||||
7.2 | 31/12/2020 | ||||
7.1 | 01/12/2019 | ||||
7.0 | 03/12/2018 | ||||
5.6 | 31/12/2018 |
Voir toutes les branches de la plateforme d'hébergement : https://phpinfo.franceserv.fr/