Le projet PhpSecInfo se télécharge et s’installe en quelques secondes. Il suffit alors de pointer un navigateur sur le répertoire d’installation pour découvrir une page bâtie sur un modèle bien connu : celui de la sortie de la fonction phpinfo(). Difficile de faire plus simple et, surtout, plus lisible !Les informations présentées ne concernent cependant pas la configuration générale de PHP mais uniquement ses réglages de sécurité. Pour cela, PhpSecInfo se contente d’interpréter le fichier php.ini. Il sera donc incapable de déceler les erreurs dans vos propres applications (telles que l’injection d’en-têtes ou la mauvaise gestion des includes).Mais ses commentaires n’en sont pas moins précieux. PhpSecInfo passe ainsi en revue les erreurs de configuration les plus courantes parmi celles qui affaiblissent la sécurité de PHP. On y trouve de grands classiques tel que l’activation des variables globales et d’autres erreurs plus subtiles, telles que l’affichage des erreurs PHP sur un site en production ou le recours à magic_quotes_gpc pour se faciliter la vie. La fonction audite également d’autres réglages souvent laissés par défaut et qui ont un impact fort sur la sécurité du serveur, tel que la non-activation de la directive Open_Basedir, ou la mauvaise gestion du répertoire temporaire de PHP (une plaie sur un serveur mutualisé).Enfin, PhpSecInfo passe en revue les réglages liés à la limitation de l’occupation des ressources systèmes (usage mémoire, taille maximale des requêtes POST ou des téléchargements, etc…).PhpSecInfo reprend à son avantage la clarté de l’affichage bien connu de phpinfo()Bien que l’usage de PhpSecInfo ne soit en rien une garantie de sécurité, il permettra aux webmestres les moins curieux et les moins intéressés par la configuration de PHP de combler au moins les failles les plus stupides.