Avec XHP, Facebook permet à PHP de contrecarrer des attaques malveillantes dans le code.

Les développeurs de Facebook viennent d’inventer XHP. Il s’agit d’une extension du langage PHP destinée à inclure dans un code le schéma de fonctionnement qu’il doit suivre. L’intérêt de ce schéma est de définir un contexte d’exécution. Sa présence est censée faire échouer toute tentative malveillante d’exécuter un code de façon inattendue, comme c’est le cas dans les attaques de type cross-site scripting, où des scripts sont amenés à lancer des fonctions sur d’autres sites.

Manipuler du XML

XHP repose sur du XML. En l’occurrence, ses déclarations reprennent le principe des schémas XML Inline. Ceux-ci sont utilisés pour manipuler les documents XML directement dans un code, sans aller au-delà des possibilités de leurs contraintes.

Les développeurs de XHP expliquent sur leur blog l’avantage d’une tel fonctionnement : « Parce qu’il rend le XML compréhensible par PHP, XHP permet de définir ses propres éléments. Il possède une collection riche de déclarations qui permet de définir de nouveaux éléments, de configurer des attributs, ou de décrire leur modèle. Ces fonctionnalités en font un puissant moteur de gabarits capable de transformer des pages complexes en balises de haut niveau. »

C’est la deuxième amélioration de PHP que propose Facebook en une semaine. On se souvient en effet de HipHop, lequel visait à transformer du code PHP en C++ pour diviser par deux le temps de chargement des pages web.

Jonathan Charton | 01net. |le 11/02/2010 à 17h20

Source :01net Pro