Par défaut, PHP offre parfois trop de possibilités aux scripts et cela peut poser des problèmes de sécurité. Le SAFE MODE est là pour répondre en partie à ces problèmes en limitant certaines possibilités de PHP. Dans le cas d'un hébergement mutualisé, le SAFE MODE est souvent activé.

Note : on ne parle pas ici de faille de sécurité de PHP mais de possibilité qu'offre PHP et dont l"utilisation peut poser des problèmes. Exemple : avec la SAFE MODE activé, il est impossible à un développeur de créer un script PHP qui supprimerait des fichiers autres que les siens sur le serveur.

PHP est un langage de programmation, il a été conçu pour aider à la création d'applications web. Le langage peut être installé sur les principaux serveurs web du marché, les plus répandus étant IIS et Apache. PHP permet de générer des pages au format HTML à la demande (souvent appelé "à la volée").
Ceci permet d'inclure dans ces pages de l'information issue de bases de données et du système de fichiers (contenu de fichiers et de l'arborescence). PHP sait également récupérer les informations envoyées par le navigateur (méthodes GET et POST), informations qui peuvent simplement être utilisées par le script PHP ou être stockées pour une utilisation ultérieure.

Les pages PHP sont préparées à la demande, c'est à dire à chaque appel de page, elles sont préparées en fonction du contexte. Le contexte peut être une session (utilisateur reconnu par le serveur), un numéro de page ou encore l'heure ou la date. Il n'y a pas de limites.

PHP a aussi la possibilité d'agir sur des éléments de la machine qui l'héberge (voire avec d'autres machines du même réseau). Principalement, il peut lire et écrire sur :

1. Le système de fichiers (création/suppression de fichiers et dossiers)
2. Le contenu des fichiers
3. Les bases de données

Lorsqu'une page PHP est demandée au serveur, celui-ci va exécuter le script en mettant à sa disposition les informations transmises par le client (variables, session, fichiers, etc..). Ce qui va être renvoyé vers le client est le résultat de l'exécution de ce script, généralement du code HTML. Le client (browser) ne sait pas qu'il a reçu le résultat d'un script PHP, seule l'extension du fichier reçu permet de le savoir.

Pour charger une extension sous Windows, il y a 2 possibilités.

Le chargement statique se fait par l'ajout du nom de l'extension à charger dans le fichier de configuration de PHP (php.ini) à la rubrique "Dynamic Extensions". Cette ligne doit prendre la forme "extension=modulename.extension" Exemple : extension=php_ldap.dll permet de charger l'extension LDAP de php.

Le chargement dynamique (ou à la volée) est un chargement d'une extension au cours de l'exécution d'un script PHP. Ce chargement se fait par la fonction dl(), et prend en paramètre le nom de l'extension. Exemple :

<?php dl("php_ldap.dll"); ?>

Note 1 : le chargement à la volée n'est possible que si la directive enable_dl du php.ini vaut true.
Note 2 : le chargement à la volée d'extension prend du temps et doit donc être utiliser avec modération.

De plus dans les deux cas, les librairies doivent être regroupées dans le répertoire des extensions de PHP. Ce répertoire est celui indiqué par la directive "extension_dir" à la section "Paths and Directories" du fichier php.ini.

Exemple : extension_dir = C:\php4\extensions

Non, puisque seul du code HTML est envoyé au navigateur. Celui-ci par contre doit être correctement formaté.

Nous présentons une sélection de livres sur le PHP dans la section consacrée à ce langage.
La sélection de livres sur PHP

Non, les pages PHP étant systématiquement interprétées par le serveur, ce qui est envoyé vers le navigateur n'est que du code HTML et d'autres langages clients.

PHP est un langage qui est exécuté dès qu'un utilisateur, par l'intermédiaire de son navigateur, en fait la demande au serveur. Par conséquent, pour exécuter le code contenu dans les scripts PHP, vous devez obligatoirement disposer d'un serveur comme Apache ou IIS.

De même pour le lancement d'une page .php, un navigateur ne peut pas à lui seul interpréter le code PHP, d'où l'utilité d'exécuter le script sur l'un des serveurs acceptant le PHP

De plus, le code PHP entre balises <?php ?> est toujours interprété, mais ce n'est pas le cas du code entre <? ?> ou <% %>.

Ces formes de balises sont activées respectivement par les directives short_open_tags et asp_tags du fichier de configuration php.ini.

Néanmoins il est recommandé de laisser ces directives à 0 et d'utiliser les balises <?php ?>. En effet, si votre application est sur une machine avec short_open_tags activé, et que vous utilisez <? ?>, lorsque vous allez migrer sur une machine à la configuration moins permissive votre code PHP ne sera plus interprété mais affiché dans le navigateur, dévoilant ainsi des informations potentiellement sensibles aux visiteurs (logins, mots de passe, adresses de serveurs, présence de failles dans le programme, version ou configuration de PHP...).

En utilisant <?php ?>, accepté sur toutes les configurations, vous n'encourez pas ce risque.

Les extensions de PHP sont des bibliothèques qui fournissent des fonctionnalités supplémentaires par rapport aux fonctions standard de PHP.

Avant de se lancer corps et âme dans l'apprentissage du langage php, il est nécessaire de maîtriser quelques notions :

Sans connaissances du HTML il est impensable d'arriver à utiliser correctement PHP car la page que reçoit le navigateur est constituée de HTML et éventuellement d'autres langages clients tels que JavaScript, CSS ou XML. A quoi bon traiter des données que l'on ne sera pas à même de présenter.

Connaître les principes fondamentaux de communication entre un serveur web et un navigateur évitera de se casser la tête pendant des heures parce que telle variable n'existe pas ou ne se met pas à jour.

Bien que ce ne soit pas indispensable, des notions de programmation feront gagner beaucoup de temps. Une personne qui sait ce que sont variables et constantes, boucles et conditions, pourra très rapidement devenir productive avec PHP.