PHP Forum : le créateur du langage livre ses astuces de sécurité et de performances
La conférence utilisateurs PHP a ouvert ses portes sur un message de Rasmus Lerdorf, invitant les développeurs à optimiser et à sécuriser leur code.
Environ deux cents personnes ont bravé les grèves des transports parisiens pour venir écouter Rasmus Lerdorf, créateur du langage PHP, qui assurait l'ouverture du PHP Forum ce matin. Rasmus Lerdorf a consacré une bonne partie de son intervention à sensibiliser les développeurs présents à deux éléments critiques d'un serveur Web écrit en PHP : les performances et la sécurité. Et même d'autant plus critiques que, selon Nexen Services, PHP fait maintenant tourner les tiers des sites Web dans le monde.
Rasmus Lerdorf a enchaîné les 'trucs', dont certains très pervers (« really nasty », en VO), pouvant être utilisés pour pirater du code PHP, et les astuces pour y faire face. Côté performances, il estime qu'il y a certes un travail d'optimisation à effectuer, mais que celui-ci se situe surtout (à 80%) du côté de Javascript, généralement utilisé pour l'interface cliente d'un serveur PHP.
Répondant à nos questions en privé à l'issue de son intervention, Rasmus Lerdorf a encore expliqué que les performances étaient tributaires de l'utilisation ou non d'un framework. De fait, les cadres applicatifs censés améliorer la productivité des développeurs et assurer un déploiement optimisé sont légion. Or, pour lui, les frameworks n'améliorent vraiment la productivité que de ceux qui les ont conçus, car ils les connaissent très bien. « Et si vous avez des problèmes de performance, il est difficile d'en sortir. » Le mieux serait encore de bien identifier son besoin, et de personnaliser un framework, voire de se créer son propre framework bien spécifique.
Des frameworks ou davantage de contraintes dans le langage lui-même pourraient aider à améliorer la sécurité des applications PHP. Mais Rasmus Lerdorf estime qu'il s'agit plus d'un problème d'éducation et de sensibilisation des développeurs. « Rien n'est jamais complètement sûr, dit-il, il faut vraiment que les développeurs comprennent bien les problèmes de sécurité. Peut-être est-ce notre faute, nous n'avons pas suffisamment éduqué le marché. »
Adobe souligne sa complémentarité avec PHP
Le PHP Forum fermera ses portes demain soir, après plusieurs interventions d'utilisateurs, dont celle de Facebook, et des ateliers techniques. Adobe, principal sponsor de la manifestation, tient également plusieurs sessions, afin de démontrer la complémentarité de PHP et de Flex, l'environnement de développement d'interfaces graphiques basées sur Flash. Les performances constituent là encore un enjeu majeur, car depuis la version 9 du Flash Player, la plateforme d'exécution d'Adobe utilise une nouvelle version de sa machine virtuelle (donnée à Mozilla, sous le nom de code Tamarin), qui minimise les temps d'exécution du Javascript sur le client (le langage d'Adobe est un proche parent, Actionscript). En outre, Flex permet d'échanger des données structurées et typées sous forme binaire, compressée, ce qui, d'une part, allège les échanges avec le serveur, optimisant la bande passante, et d'autre part offre des possibilités de manipulation des données sur le client bien plus avancées.
Conscient de s'adresser à un public très à cheval sur les règles de l'Open Source, Michaël Chaize, avant-vente chez Adobe France, a souligné que si l'atelier Flex Builder est payant (250 euros), le kit de développement est gratuit, et passera même sous licence Open Source début 2008. Quant aux serveurs Flex, payants, ils ne sont a priori pas utiles à la majorité des projets : « Aujourd'hui, 95% des applications Flex dans le monde ne rapportent rien à Adobe - hormis des coups de fil au support... »