choix d'environnement Apache/PHP/Sql

Bonjour les Zesteux ! Je n'avais pas encore pris le temps, mais venant de me retrouver sans emploi, j'aimerais remettre les mains dans le code PHP.

Auparavant, j'étais sur linux, mais dans le courant du mois de septembre, j'ai mis la main sur un laptop Alienware (donc une bombe) tournant sous Win7 64 bits qui finctionne impec, et quelques jours plus tard, l'alim de ma vieille tour a lâché. Donc avec l'aide d'un ami, j'ai transféré le contenu des DD de la tour vers le DD externe pour y avoir accès depuis le laptop. Et depuis, j'installe peu à peu mes applis que j'ai besoin.

Et comme j'aimerais me remettre au code PHP, j'avais pensé à Wampserver, sauf que… C'est hébergé sur Sourceforge, que plusieurs logiciels libres comme GIMP et Notepad++ ont déserté suite à des décisions douteuses de la part de SF. De plus, j'ai lu sur des cas de problèmes de sécurité avec l'installeur de Filezilla pour Win, également hébergé sur SF. J'ai d'ailleurs pris WinSCP comme client FTP pour cette raison.

Moi qui a pris du temps pour mettre en place mon poste de travail, j'ai pas envie de devoir reformater à cause d'un installeur corrompu.

Donc à la place j'ai pensé prendre EasyPHP qui semble avoir fait du rattrapage, mais je viens quand même sinder les windowsiens ici pour le choix de package pour serveur AMP de développement sous Win.

OS : Je suis sous Windows 7 64 bits et je ne compte pas l'upgrader vers win10, Seven marche impec.

Merci d'avance.

Bonjour,

Il n'existe pas de choix idéal si tu veux "remettre les mains dans le code PHP". Je te recommande WAMP à titre personnel.

A noter que WAMP n'est pas un serveur de production. Si Zeste de Savoir était écrit en PHP, il ne tournerait pas à l'aide de WAMP, si tu vois ce que je veux dire.

Et pour le lien qui indique qu'il existe un malware dans l'installeur de Filezilla… Ça m'a l'air d'être une bêtise. Tu en penses quoi ?

Bonjour,

Ca dépend de tes besoins. Si tu veux juste bricoler deux ou trois trucs, un wamp suffit amplement. Si tu veux faire plus, je recommande de faire une machine virtuelle Linux depuis ton Windows (ou carrément un dual boot si tu es courageuse). Tu auras la main sur ton serveur, pourras installer très facilement les paquets que tu désires et faire tout-plein-d-autres-trucs-qui-sont-cools.

C'est pas une bêtise, SourceForge est connu pour mettre des saloperies dans ses installeurs. Ça a fait un tollé quand les gens s'en sont rendu compte, et SourceForge est même dans les listes de blocages de uBlock si je me souviens bien.

TL;DR: Sourceforge = berk, utiliser le site officiel du logiciel si il a des liens non-sourceforge.

Ah… Les bras m'en tombent. C'est bien la dernière chose à laquelle je m'attendais de la part d'une plate-forme aussi sérieuse.

Est-on au moins sûr qu'il ne s'agit simplement pas de faux-positifs ?

C'est un vrai problème, une simple recherche sur « sourceforge installer » te donnera des dizaines de résultats édifiants. Ce qui vaut à sourceforge d'être bloqué par uBlock par exemple.

C'est un peu comme les autres sites type clubic qui installent un peu tout et n'importe quoi sur ta machine, si j'ai bien compris. C'est un souci connu et récurrent. Il suffit de faire attention et, en général, de télécharger le binaire sur le site de l'auteur.

Mais tout cela est hors sujet, n'est-ce pas ?

Le problème, c'est que les liens de téléchargement directs depuis wampserver.com pointent vers sourceforge… à moins peut-être de s'enregistrer sur wampserver.com, mais je n'ai pas tenté, et je serais surpris que ça change quelque chose.

D'ailleurs, même les changelogs qu'on peut voir proviennent de SF.

Je comprends pas comment en 2015 on peut encore avoir besoin de Sourceforge. Il suffit de migrer vers Github et Bitbucket pour profiter de leur hébergement de releases. J'espère que ce site va bientôt disparaître.

Sur Windows j'utilisais UwAmp qui offrait pas mal d'avantages par rapport à WAMP :

• pas sur SourceForge
• version portable
• possibilité d'avoir plusieurs version installées de PHP, d'Apache et de MySQL facilement
• interface un peu plus sympa que WAMP
• et si ma mémoire est bonne, les updates des versions de PHP étaient plus rapides que sur WAMP

Perso ça fait depuis que j'ai commencé avec php5 que j'utilise WAMP et je n'ai jamais eu de gros problème, sauf un bug bizarre et inexpliquable qui fait qu'une page sur deux ne se charge pas correctement avec IE.

Avant de me mettre à php5 j'utilisais EasyPHP, mais j'en ai eu de mauvais souvenirs vers la fin, c'est pour ça que j'avais switché. En plus le projet semblait avoir été un peu abandonné car ils ont tardé à proposer php5. JE ne sais pas ce que le projet est devenu depuis. La dernière version que j'ai eu était la 1.8 si je me souviens bien; ça devait être sous windows 2000.

Ce qui me choque beaucoup plus par contre sur ce topic, c'est cette histoire de malware/spyware dans les installeurs de SourceForge. Je savais que clubic, softonic et konsor étaient les spécialistes pour refiler des installeurs bourrés de m… qui téléchargent des installeurs qui installent des installeurs à tous les niveaux bourrés de trucs louches, mais SourceForge ! Pourquoi une plateforme prétendue libre ferait ça ?

D'un point de vue plus générale, je ne comprends quand même pas pourquoi clubic et les autres font ça ? C'est quoi la politique qu'il y a derrière ? On pompe des données utilisateur en espérant ne pas se faire choper ? C'est du foutage de gueule du même niveau que VW et ses moteurs truqués du coup non ? ET au fait qu'est-ce qu'ils peuvent bien récupérer comme infos et en quoi ça les intéresse ?

Quoi qu'il en soit, ça ne change pas la règle de base n°1 de tout bon informaticien: toujours télécharger un logiciel sur le site web officiel. Si WAMP utilise obligatoirement SF et si SF est effectivement pourri, ça justifie pleinement de vouloir changer du coup, pour autant qu'il y ait des alternatives. A l'époque où je l'ai installé c'était WAMP ou EasyPHP, il 'y avait pas trop d'autres choix… donc voilà, j'ai gardé WAMP.

Ils sont payés par des boîtes pour te refiler leurs merdes. Exemple, les maléfiques toolbars (Ask) ou encore les adwares qui sont même pas signalés dans l'installeur.

Softonic par exemple est responsable de pas mal de saloperies qui traînent sur le PC parental. Ils ont une très bonne SEO et souvent ils se retrouvent avant le site du logiciel.

Perso, j'avais utilisé XAMPP, après l'avoir testé sous linux et avoir été plutôt déçu de WAMP qui refusait de se lancer totalement. Il est intéressant car il n'a pas besoin d'être installé "lourdement" (pas besoin des services pour fonctionner), et le projet ne repose pas sur une plate-forme tierce type Sourceforge donc pas de risque de pourrissage.

Je connais quelques personnes qui ont essayé XAMPP et qui ont été embêtés avec la version windows. Entres autres, des bugs d'include/require et des problèmes pour les uploads via formulaire. J'ai jamais réussi à comprendre d'où ça pouvait venir. Il semblerait que les versions linux et mac soient beaucoup mieux.

Ils sont payés par des boîtes pour te refiler leurs merdes.

OK, tout s'explique alors. Donc si je comprends bien, les sites genre softonic fonctionnent uniquement :

1. Parce qu'il y a encore et toujours énormément d'utilisateurs pigeons
2. Parce que des boîtes ont une économie qui se fondent sur la collecte de données personnelles à l'insu de l'utilisateur. Données qui sont revendues Dieu sait où et dont on se demande bien la nature.

En fait c'est encore pire et vicieux que Google et Facebook ! Au moins la pub Google et les boutons sociaux on les voit, les cases à cocher pour ne pas installer les 36 toolbars et spywares installés par défaut pas toujours.

Ca explique aussi peut-être pourquoi SoundForge l'auraient fait. Tout le monde est parti sur GITHub, du coup ils sont cliniquement morts déjà depuis un moment. Dans un élan de désespoir, ils auraient donc accepté de le faire parce que c'était le seul moyen de les sauver un peu plus longtemps. Je suis d'avis que c'est le meilleur moyen d'accélérer leur chute, mais bon… c'est une autre question. C'est quand même parier sur le fait qu'on ne se fera pas choper; une véritable bombe à retardement, quoi.

Du coup, d'autres questions me viennent :

1. Pourquoi les développeurs passent par ces sites à la con plutôt que de distribuer leurs logiciels sur leur propre site web qu'ils possèdent déjà (à quelques exceptions près) ? Pour des jeux 3D qui font plusieurs dizaines de Go je peux comprendre, sans miroirs on est vite foutu et il faut l'espace disque. Mais pour des logiciels qui font 30 Mo, je ne pige pas… même les hébergeurs gratuits les plus pourris proposent à peu près tous au moins 1 Go aujourd'hui.
2. Est-ce qu'il y a un risque que la mésaventure arrive sur une plateforme comme GITHub, et donc que les binaires hébergés sur GITHub soient un jour corrompus aux dépends des utilisateurs et des développeurs ? Ca paraissait impensable sur SF et voilà, tous ceux qui leur ont fait confiance ont visiblement été b####. Moralité: essayons donc d'être au maximum maître de nos données.

Je pensais que ça allait être une évidence que c'était pour le développement, mais apparemment jme suis trompée.. J'ai déjà l'hébergement, mais rien pour faire mes tests en local AVANT d'envoyer sur l'hébergeur ! D'autant plus que sur l'hébergement, les parse error sont masqués, ce qui corse la recherche d'erreurs dans le script.

Si tu es à l'aise avec Linux, autant installer ta stack LAMP sur Docker via Docker Toolbox conçu pour Windows et Mac…

Je valide que développer avec un environnement trop différent de celui de production est très dangereux.

Changer d'OS est déjà le plus gros point noir : PHP a parfois des comportement différents suivant le système : essaie donc d'avoir un Linux dans un coin (via une simple VM qui pointe sur un dossier local, c'est assez simple à mettre en place au final).

Quant aux logiciels de développement, tu peux utiliser Atom (créé par GitHub), Sublime Text, voire PhpStorm si tu veux faire du PHP plus que tout. Notepad++ ça commence vraiment à dater et c'est hyper basique niveau fonctionnalités.

Pour Filezilla, n'oublie pas que les mots de passe sont stockés en clair ou presque, donc un programme un peu malicieux pourra lire ce XML et pomper pas mal d'accès facilement…

Qui plus est, FileZilla est un des softs hébergés chez SourceForge qui a volontairement laissé mettre des logiciels supplémentaires dans ses installeurs, et je ne compte plus le nombre de clients à qui j'ai dû faire changer pour WinSCP parce qu'étrangement, les fichiers qu'ils uploadaient étaient modifiés (code JavaScript ou HTML injecté, notamment), ou que des fichiers suspects étaient envoyés "silencieusement" avec des images.

Edit

Qu'on soit bien d'accord : ce n'était pas FileZilla lui-même qui modifiait les fichiers, mais les adwares difficilement désinstallables qui étaient venus silencieusement avec.

Notons tout de même que ces adwares arrivent à s'intégrer à FileZilla d'une manière ou d'une autre pour opérer, étant donné que surveiller la couche réseau n'est pas nécessairement le plus simple…

Attends quoi, FileZilla fait ça ? C'est scandaleux ! Déjà les adwares c'est pas terrible mais si ça modifie tes fichiers en plus…

JE tombe dénu là ! Mais ça expliquerait un certain nombre de choses… ce n'est pas la première fois que j'entends parler de gens qui se demandent bien comment leurs fichiers ont bien pu être modifiés mystérieusement. C'est allé jusqu'à des iframes merdiques sauvagement incorporés dans du HTML.

Pour les mots de passe en clair dans la conf XML j'étais déjà au courant par contre. Mais en même temps difficile d'avoir un moyen infaillible pour stocker des mots de passe en local. Au mieux on éloigne juste ceux qui sont un peu trop curieux. IL faut bien stocker la clé de déchiffrement quelque part si on ne veut pas demander un mot de passe global à chaque fois. Du coup les concepteurs de filezilla ont probablement préféré tout bonnement ne pas se casser la tête avec ça.

Perso ça fait un bon moment que j'utilise WinSCP. Le seul petit désavantage c'est que le fonctionnement n'est pas symétrique: un C/C ou D&D depuis l'explorateur vers WinSCP pour uploader marche mais pas l'inverse. Mais la fonction de WinSCP que j'apprécie le plus c'est encore celle de pouvoir modifier ses fichiers directement sans devoir les télécharger et les réuploader à chaque fois.

Dans la même catégorie à un moment j'avais essayé Win-ssh-fs, mais j'ai pas été convaincu, ça buggait souvent. Dommage, c'est encore mieux que WinSCP, le concept c'est d'avoir une lettre de lecteur fonctionnant de manière totalement transparente.

Le plus simple ça reste d'avoir une bonne vieille VM sous la main ou un dualboot je pense.