The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел PHP 5.3.1

20.11.2009 10:12

Спустя пять месяцев с момента выхода PHP 5.3 увидел свет первый корректирующий релиз - PHP 5.3.1, в котором исправлено около 100 ошибок.

Связанные с безопасностью улучшения и исправления:

  • Добавлена директива конфигурации "max_file_uploads", позволяющая указать максимально возможное число загрузок файлов на каждый запрос. Директива введена для защиты от DoS атак, направленных на истощение ресурсов через создание огромного числа временных файлов. Заданное по умолчанию значение - 20;
  • Добавлены дополнительные проверки в код обработки EXIF полей в изображениях;
  • Устранена возможность обхода ограничений safe_mode, через вызов tempnam() для неограниченного создания временных файлов;
  • Устранена возможность создания fifo-файлов вне корневой директории, определенной через open_basedir, путем вызова posix_mkfifo();
  • Исправлена ошибка, приводящая к неработоспособности ограничения safe_mode_include_dir;
  • Устранена ошибка, приводящая к краху при передаче некорректного режима в функцию popen.

Наиболее важные исправления, не связанные с безопасностью:

  • Устранен крах при указании неверного значения typelib в момент вызова функции com_print_typeinfo;
  • Устранен крах при использовании отражений (Reflection) в SQLiteDatabase::ArrayQuery() и SQLiteDatabase::SingleQuery();
  • Устранен крах при создании экземпляров PDORow и PDOStatement с использованием отражений;
  • Исправлена ошибка в коде работы с tar-архивами, связанная с обработкой длинных имен;
  • Исправлена ошибка приводящая к завершению выполнения в случае не определения интерфейса при вызове __autoload.


  1. Главная ссылка к новости (http://www.php.net/releases/5_...)
  2. OpenNews: Основатель проекта PHP покинул компанию Yahoo
  3. OpenNews: Вышел релиз PHP 5.2.11 с исправлением 4 уязвимостей
  4. OpenNews: Увидел свет релиз интерпретатора языка программирования PHP 5.3
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/24344-php
Ключевые слова: php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.12, ameoba32 (?), 13:16, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    багу с UTF8 в модуле COM
    http://bugs.php.net/bug.php?id=37899
    не могут исправить с 2006 года. хотя патч есть.

    Поломанный в 5.3-win32 gettext тоже
    http://bugs.php.net/bug.php?id=49349

    сакс.

     
     
  • 2.22, fi (ok), 15:21, 20/11/2009 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    К этому еще:

    Есть супер популярный Spreadsheet/Excel/Writer.php
    так вот, если поставить setVersion(8) и setInputEncoding('utf-8') - что нужно для русского, то глючит уже на 1000 строках - страница полностью разваливается.

     

  • 1.13, pentarh (ok), 13:18, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Лучше бы отказались вот от этого маразма:

    mysql_escape_string() deprecated, use mysql_real_escape_string() instead

     
     
  • 2.26, qwer (??), 16:46, 20/11/2009 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    >Лучше бы отказались вот от этого маразма:
    >
    >mysql_escape_string() deprecated, use mysql_real_escape_string() instead

    Они задумаются об этом когда будет
       mysql_really_truest_true_trusted_true_escape_string()

     
     
  • 3.39, Аноним (-), 19:30, 20/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > Они задумаются об этом когда будет
    >    mysql_really_truest_true_trusted_true_escape_string()

    Ой не надо ля-ля. Этому mysql_real_escape_string() уже сто лет в обед. И все люди, хоть немного думающие о безопасности, его уже кучу времени используют.

     
     
  • 4.40, pentarh (ok), 20:09, 20/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Они задумаются об этом когда будет
    >>    mysql_really_truest_true_trusted_true_escape_string()
    >
    >Ой не надо ля-ля. Этому mysql_real_escape_string() уже сто лет в обед. И
    >все люди, хоть немного думающие о безопасности, его уже кучу времени
    >используют.

    Это правда что он (real_escape) посылает строку самому серверу на квотинг? Если да, то для хайлоада это жесть.

     
     
  • 5.42, keeper (ok), 20:34, 20/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > Это правда что он (real_escape) посылает строку самому серверу на квотинг?
    > Если да, то для хайлоада это жесть.
    > [...] для хайлоада это жесть.

    Пруфлинк или не было.

     
  • 4.47, anonymous (??), 18:06, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > И все люди, хоть немного думающие о безопасности, его уже кучу времени используют.

    Люди, думающие о безопасности используют несколько боле человеческие средства. В идеале, если есть такая возможность — не PHP, а что-то более хорошее, где не надо бороться с родовыми травмами языка.

    По крайней мере за mysql_query("SELECT * FROM foo WHERE bar = '" . mysql_real_escape_string($bar) . "'") в приличных местах бьют ногами. Минимум это query("SELECT ... WHERE bar = ?", $bar), а в приличных случаях Foo.filter_by(bar=bar)

     
     
  • 5.48, pro100master (ok), 22:13, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    ээээ мммм как бы параметризованные запросы далеко не везде возможны и уместны. Поэтому увольняю всех, кто бьет ногами себя с грудь :)))

    а вообще нашли себе тему... Меня больше волнует вопрос IDE. За 10 лет ни одной. Я имею ввиду, разумеется, с виртуалкой, а не текстовые редакторы с подсветкой синтаксиса, вроде Eclipse :)))

     
     
  • 6.50, anonymous (??), 23:25, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Я в курсе. Но мы говорим про mysql_real_escape_string(), нет?

    Если да, то оно, если меня склероз не подводит, используется для искейпинга параметров в запросах как раз. Все остальные юзкейсы этой штуки, мягко говоря, как минимум странны.

     
     
  • 7.53, pro100master (ok), 00:27, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >Я в курсе. Но мы говорим про mysql_real_escape_string(), нет?
    >
    >Если да, то оно, если меня склероз не подводит, используется для искейпинга
    >параметров в запросах как раз. Все остальные юзкейсы этой штуки, мягко
    >говоря, как минимум странны.

    вы говорите(!). Я не считаю такой подход правильным - никакие данные не могут считаться достоверными, пока не доказано обратное. Молитесь другим богам - ваше право. Но не делайте из этого священной коровы. Они не любят этого :)))

     
  • 2.44, Dimez (??), 23:43, 20/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > mysql_escape_string() deprecated, use mysql_real_escape_string() instead

    Отлично! :)

     

  • 1.41, Аноним (-), 20:13, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    поскорей бы в портах появилось
     
  • 1.43, thevery (??), 22:31, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    про epic fail со страницей релиза постестнялись написать?

    "Fatal error: Call to undefined function bugfix() in /home/php/public_html/releases/5_3_1.php on line 23"

    http://www.picamatic.com/view/6011487_Screen_shot_2009-11-20_at_22.29.29/

     
     
  • 2.45, Cattle (?), 02:09, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    фейк
     
     
  • 3.46, thevery (??), 04:13, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    с фига ли фейк-то? этот скриншот я лично снимал, но если не верите, тое
    http://twitter.com/#search?q=PHP%205.3.1%20fatal%20error
     
     
  • 4.49, pro100master (ok), 22:14, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >с фига ли фейк-то? этот скриншот я лично снимал, но если не
    >верите, тое
    >http://twitter.com/#search?q=PHP%205.3.1%20fatal%20error

    и в чем проблема? Мы тоже делаем все в песочнице-wrapper'e. Это не "epic fail", а просто "fail" :)))

     
     
  • 5.51, anonymous (??), 23:29, 21/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    > Это не "epic fail", а просто "fail" :)))

    Нет разделения production - testing - development? Нет, это именно epic fail. Если, конечно, речь о каком-либо крупном и посещаемом сайте. php.net под описание подходит.

     
     
  • 6.52, pro100master (ok), 00:24, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    если вас интересуют подробности организации php.net, то можете задать им вопрос. То, что приводится по ссылкам выше, это напоминает из серии "я видел ЭТО". Я видел 500 на лента.ру. Это "epic fail"? А на ютубе белую страницу. Это тоже? :)))
     
     
  • 7.55, thevery (??), 01:02, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >что приводится по ссылкам выше, это напоминает из серии "я видел
    >ЭТО".

    проблема в том, что после выкладывания новости мало того что никто не проверил, так ещё и исправить не один час не могли.

    >Я видел 500 на лента.ру. Это "epic fail"? А на
    >ютубе белую страницу. Это тоже? :)))

    я видел у гугла индексную страницу апача, и что?

     
     
  • 8.58, pro100master (ok), 11:39, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    не знаем мы, что там произошло Возможно а они арендуют хостинг где-то что-то ... текст свёрнут, показать
     
  • 5.54, thevery (??), 01:00, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >и в чем проблема?

    проблема в том, что даже собственный сайт у пэхэпэшников не работает как следует.

     
     
  • 6.56, keeper (ok), 10:35, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    >проблема в том, что даже собственный сайт у пэхэпэшников не работает как
    >следует.

    А разгадка одна.

     
  • 6.57, pro100master (ok), 11:34, 22/11/2009 [^] [^^] [^^^] [ответить]  
    		• +/
    Забавно. Uptime 99.9% считается нормой. Но ни один клиент почему-то не думает, что это ~10 часов простоя. Так и вам - лишь бы по троллить :)))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру