Спустя пять месяцев с момента выхода PHP 5.3 увидел свет (http://www.php.net/releases/5_3_1.php) первый корректирующий релиз - PHP 5.3.1 (http://www.php.net), в котором исправлено около 100 ошибок.

Связанные с безопасностью улучшения и исправления:

-  Добавлена директива конфигурации "max_file_uploads", позволяющая указать максимально возможное число загрузок файлов на каждый запрос. Директива введена для защиты от DoS атак, направленных на истощение ресурсов через создание огромного числа временных файлов. Заданное по умолчанию значение - 20;
-  Добавлены дополнительные проверки в код обработки EXIF полей в изображениях;
-  Устранена возможность обхода ограничений safe_mode, через вызов tempnam() (http://ru2.php.net/manual/en/function.tempnam.php) для неограниченного создания временных файлов;
-  Устранена возможность создания fifo-файлов вне корневой директории, определенной через open_basedir, путем вызова posix_mkfifo() (http://ru2.php.net/manual/en/function.posix-mkfi...

URL: http://www.php.net/releases/5_3_1.php
Новость: http://www.opennet.me/opennews/art.shtml?num=24344

• Вышел PHP 5.3.1,ameoba32, 13:16 , 20-Ноя-09
  • Вышел PHP 5.3.1,fi, 15:21 , 20-Ноя-09
• Вышел PHP 5.3.1,pentarh, 13:18 , 20-Ноя-09
  • Вышел PHP 5.3.1,qwer, 16:46 , 20-Ноя-09
    • Вышел PHP 5.3.1,Аноним, 19:30 , 20-Ноя-09
      • Вышел PHP 5.3.1,pentarh, 20:09 , 20-Ноя-09
        • Вышел PHP 5.3.1,keeper, 20:34 , 20-Ноя-09
      • Вышел PHP 5.3.1,anonymous, 18:06 , 21-Ноя-09
        • Вышел PHP 5.3.1,pro100master, 22:13 , 21-Ноя-09
          • Вышел PHP 5.3.1,anonymous, 23:25 , 21-Ноя-09
            • Вышел PHP 5.3.1,pro100master, 00:27 , 22-Ноя-09
  • Вышел PHP 5.3.1,Dimez, 23:43 , 20-Ноя-09
• Вышел PHP 5.3.1,Аноним, 20:13 , 20-Ноя-09
• Вышел PHP 5.3.1,thevery, 22:31 , 20-Ноя-09
  • Вышел PHP 5.3.1,Cattle, 02:09 , 21-Ноя-09
    • Вышел PHP 5.3.1,thevery, 04:13 , 21-Ноя-09
      • Вышел PHP 5.3.1,pro100master, 22:14 , 21-Ноя-09
        • Вышел PHP 5.3.1,anonymous, 23:29 , 21-Ноя-09
          • Вышел PHP 5.3.1,pro100master, 00:24 , 22-Ноя-09
            • Вышел PHP 5.3.1,thevery, 01:02 , 22-Ноя-09
              • Вышел PHP 5.3.1,pro100master, 11:39 , 22-Ноя-09
        • Вышел PHP 5.3.1,thevery, 01:00 , 22-Ноя-09
          • Вышел PHP 5.3.1,keeper, 10:35 , 22-Ноя-09
          • Вышел PHP 5.3.1,pro100master, 11:34 , 22-Ноя-09

багу с UTF8 в модуле COM
http://bugs.php.net/bug.php?id=37899
не могут исправить с 2006 года. хотя патч есть.

Поломанный в 5.3-win32 gettext тоже
http://bugs.php.net/bug.php?id=49349

сакс.

К этому еще:

Есть супер популярный Spreadsheet/Excel/Writer.php
так вот, если поставить setVersion(8) и setInputEncoding('utf-8') - что нужно для русского, то глючит уже на 1000 строках - страница полностью разваливается.

Лучше бы отказались вот от этого маразма:

mysql_escape_string() deprecated, use mysql_real_escape_string() instead

>Лучше бы отказались вот от этого маразма:
>
>mysql_escape_string() deprecated, use mysql_real_escape_string() instead

Они задумаются об этом когда будет
   mysql_really_truest_true_trusted_true_escape_string()

> Они задумаются об этом когда будет
>    mysql_really_truest_true_trusted_true_escape_string()

Ой не надо ля-ля. Этому mysql_real_escape_string() уже сто лет в обед. И все люди, хоть немного думающие о безопасности, его уже кучу времени используют.

>> Они задумаются об этом когда будет
>>    mysql_really_truest_true_trusted_true_escape_string()
>
>Ой не надо ля-ля. Этому mysql_real_escape_string() уже сто лет в обед. И
>все люди, хоть немного думающие о безопасности, его уже кучу времени
>используют.

Это правда что он (real_escape) посылает строку самому серверу на квотинг? Если да, то для хайлоада это жесть.

> Это правда что он (real_escape) посылает строку самому серверу на квотинг?
> Если да, то для хайлоада это жесть.
> [...] для хайлоада это жесть.

Пруфлинк или не было.

> И все люди, хоть немного думающие о безопасности, его уже кучу времени используют.

Люди, думающие о безопасности используют несколько боле человеческие средства. В идеале, если есть такая возможность — не PHP, а что-то более хорошее, где не надо бороться с родовыми травмами языка.

По крайней мере за mysql_query("SELECT * FROM foo WHERE bar = '" . mysql_real_escape_string($bar) . "'") в приличных местах бьют ногами. Минимум это query("SELECT ... WHERE bar = ?", $bar), а в приличных случаях Foo.filter_by(bar=bar)

ээээ мммм как бы параметризованные запросы далеко не везде возможны и уместны. Поэтому увольняю всех, кто бьет ногами себя с грудь :)))

а вообще нашли себе тему... Меня больше волнует вопрос IDE. За 10 лет ни одной. Я имею ввиду, разумеется, с виртуалкой, а не текстовые редакторы с подсветкой синтаксиса, вроде Eclipse :)))

Я в курсе. Но мы говорим про mysql_real_escape_string(), нет?

Если да, то оно, если меня склероз не подводит, используется для искейпинга параметров в запросах как раз. Все остальные юзкейсы этой штуки, мягко говоря, как минимум странны.

>Я в курсе. Но мы говорим про mysql_real_escape_string(), нет?
>
>Если да, то оно, если меня склероз не подводит, используется для искейпинга
>параметров в запросах как раз. Все остальные юзкейсы этой штуки, мягко
>говоря, как минимум странны.

вы говорите(!). Я не считаю такой подход правильным - никакие данные не могут считаться достоверными, пока не доказано обратное. Молитесь другим богам - ваше право. Но не делайте из этого священной коровы. Они не любят этого :)))

> mysql_escape_string() deprecated, use mysql_real_escape_string() instead

Отлично! :)

поскорей бы в портах появилось

про epic fail со страницей релиза постестнялись написать?

"Fatal error: Call to undefined function bugfix() in /home/php/public_html/releases/5_3_1.php on line 23"

http://www.picamatic.com/view/6011487_Screen_shot_2009-11-20.../

фейк

с фига ли фейк-то? этот скриншот я лично снимал, но если не верите, тое
http://twitter.com/#search?q=PHP%205.3.1%20fatal&#...

>с фига ли фейк-то? этот скриншот я лично снимал, но если не
>верите, тое
>http://twitter.com/#search?q=PHP%205.3.1%20fatal&#...

и в чем проблема? Мы тоже делаем все в песочнице-wrapper`e. Это не "epic fail", а просто "fail" :)))

> Это не "epic fail", а просто "fail" :)))

Нет разделения production - testing - development? Нет, это именно epic fail. Если, конечно, речь о каком-либо крупном и посещаемом сайте. php.net под описание подходит.

если вас интересуют подробности организации php.net, то можете задать им вопрос. То, что приводится по ссылкам выше, это напоминает из серии "я видел ЭТО". Я видел 500 на лента.ру. Это "epic fail"? А на ютубе белую страницу. Это тоже? :)))

>что приводится по ссылкам выше, это напоминает из серии "я видел
>ЭТО".

проблема в том, что после выкладывания новости мало того что никто не проверил, так ещё и исправить не один час не могли.

>Я видел 500 на лента.ру. Это "epic fail"? А на
>ютубе белую страницу. Это тоже? :)))

я видел у гугла индексную страницу апача, и что?

>проблема в том, что после выкладывания новости мало того что никто не
>проверил, так ещё и исправить не один час не могли.

не знаем мы, что там произошло. Возможно (а они арендуют хостинг) где-то что-то поменялось админами. Пока искали ответственного программиста... Вы такие случаи в жизни не встречали?

>я видел у гугла индексную страницу апача, и что?

а вы как думаете? А ничего! Вы же не сделали скрин и не опубликовали нигде, поэтому никто этот, безусловно, epic fail не обсуждает. А вот авторы той "сенсации", как коты, которым делать нечего :)))

>и в чем проблема?

проблема в том, что даже собственный сайт у пэхэпэшников не работает как следует.

>проблема в том, что даже собственный сайт у пэхэпэшников не работает как
>следует.

А разгадка одна.

Забавно. Uptime 99.9% считается нормой. Но ни один клиент почему-то не думает, что это ~10 часов простоя. Так и вам - лишь бы по троллить :)))