новый релиз PHP содержит ряд новшеств и улучшений безопасности
В PHP 5.2 добавлены три новых расширения filter, json и zip, реализован режим вывода ошибок E_RECOVERABLE_ERROR, введены новые объекты для работы с датами и временем (DateTime и DateTimeZone ), проведена работа по оптимизации скорости работы и уменьшению потребления памяти (новый код для распределения памяти), исправлено более 200 ошибок.
В области безопасности реализованы следующие новшества:
- в расширениях PostgreSQL и PDO улучшены средства экранирования служебных символов;
- добавлена директива allow_url_include, по умолчанию запрещающая использование URL в директивах include и require;
- кеш realpath отключается, если используются open_basedir и safe_mode;
- исправлено переполнение буфера в функциях str_repeat(), tempnam() и wordwrap(), устранена возможность обхода safe_mode через error_log(), session.save_path и некоторые функции расширения cURL;
- устранена возможность запуска кода злоумышленника через передачу некорректных UTF-8 последовательностей символов в функции htmlspecialchars() и htmlentities().
Ветка PHP 5.1.x объявлена не поддерживаемой, владельцам PHP 5.1 рекомендуется срочно обновить PHP до версии 5.2 (исправлены серьезные уязвимости).
В области безопасности реализованы следующие новшества:
- в расширениях PostgreSQL и PDO улучшены средства экранирования служебных символов;
- добавлена директива allow_url_include, по умолчанию запрещающая использование URL в директивах include и require;
- кеш realpath отключается, если используются open_basedir и safe_mode;
- исправлено переполнение буфера в функциях str_repeat(), tempnam() и wordwrap(), устранена возможность обхода safe_mode через error_log(), session.save_path и некоторые функции расширения cURL;
- устранена возможность запуска кода злоумышленника через передачу некорректных UTF-8 последовательностей символов в функции htmlspecialchars() и htmlentities().
Ветка PHP 5.1.x объявлена не поддерживаемой, владельцам PHP 5.1 рекомендуется срочно обновить PHP до версии 5.2 (исправлены серьезные уязвимости).
