Вышел PHP 5.3.1

20.11.2009 10:12

Спустя пять месяцев с момента выхода PHP 5.3 увидел свет первый корректирующий релиз - PHP 5.3.1, в котором исправлено около 100 ошибок.

Связанные с безопасностью улучшения и исправления:

Добавлена директива конфигурации "max_file_uploads", позволяющая указать максимально возможное число загрузок файлов на каждый запрос. Директива введена для защиты от DoS атак, направленных на истощение ресурсов через создание огромного числа временных файлов. Заданное по умолчанию значение - 20;
Добавлены дополнительные проверки в код обработки EXIF полей в изображениях;
Устранена возможность обхода ограничений safe_mode, через вызов tempnam() для неограниченного создания временных файлов;
Устранена возможность создания fifo-файлов вне корневой директории, определенной через open_basedir, путем вызова posix_mkfifo();
Исправлена ошибка, приводящая к неработоспособности ограничения safe_mode_include_dir;
Устранена ошибка, приводящая к краху при передаче некорректного режима в функцию popen.

Наиболее важные исправления, не связанные с безопасностью:

Устранен крах при указании неверного значения typelib в момент вызова функции com_print_typeinfo;
Устранен крах при использовании отражений (Reflection) в SQLiteDatabase::ArrayQuery() и SQLiteDatabase::SingleQuery();
Устранен крах при создании экземпляров PDORow и PDOStatement с использованием отражений;
Исправлена ошибка в коде работы с tar-архивами, связанная с обработкой длинных имен;
Исправлена ошибка приводящая к завершению выполнения в случае не определения интерфейса при вызове __autoload.

исправить +1 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/24344-php

Ключевые слова: php

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (24)

1.12, ameoba32 (?), 13:16, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]

+1 +/–

багу с UTF8 в модуле COM
http://bugs.php.net/bug.php?id=37899
не могут исправить с 2006 года. хотя патч есть.

Поломанный в 5.3-win32 gettext тоже
http://bugs.php.net/bug.php?id=49349

сакс.

2.22, fi (ok), 15:21, 20/11/2009 [^] [^^] [^^^] [ответить] [к модератору]

–1 +/–

К этому еще:

Есть супер популярный Spreadsheet/Excel/Writer.php
так вот, если поставить setVersion(8) и setInputEncoding('utf-8') - что нужно для русского, то глючит уже на 1000 строках - страница полностью разваливается.

1.13, pentarh (ok), 13:18, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
Лучше бы отказались вот от этого маразма: mysql_escape_string() deprecated, use mysql_real_escape_string() instead

2.26, qwer (??), 16:46, 20/11/2009 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+3 +/–
>Лучше бы отказались вот от этого маразма: > >mysql_escape_string() deprecated, use mysql_real_escape_string() instead Они задумаются об этом когда будет mysql_really_truest_true_trusted_true_escape_string()

3.39, Аноним (-), 19:30, 20/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Они задумаются об этом когда будет > mysql_really_truest_true_trusted_true_escape_string() Ой не надо ля-ля. Этому mysql_real_escape_string() уже сто лет в обед. И все люди, хоть немного думающие о безопасности, его уже кучу времени используют.

4.40, pentarh (ok), 20:09, 20/11/2009 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
>> Они задумаются об этом когда будет >> mysql_really_truest_true_trusted_true_escape_string() > >Ой не надо ля-ля. Этому mysql_real_escape_string() уже сто лет в обед. И >все люди, хоть немного думающие о безопасности, его уже кучу времени >используют. Это правда что он (real_escape) посылает строку самому серверу на квотинг? Если да, то для хайлоада это жесть.

5.42, keeper (ok), 20:34, 20/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Это правда что он (real_escape) посылает строку самому серверу на квотинг? > Если да, то для хайлоада это жесть. > [...] для хайлоада это жесть. Пруфлинк или не было.

4.47, anonymous (??), 18:06, 21/11/2009 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

> И все люди, хоть немного думающие о безопасности, его уже кучу времени используют.

Люди, думающие о безопасности используют несколько боле человеческие средства. В идеале, если есть такая возможность — не PHP, а что-то более хорошее, где не надо бороться с родовыми травмами языка.

По крайней мере за mysql_query("SELECT * FROM foo WHERE bar = '" . mysql_real_escape_string($bar) . "'") в приличных местах бьют ногами. Минимум это query("SELECT ... WHERE bar = ?", $bar), а в приличных случаях Foo.filter_by(bar=bar)

5.48, pro100master (ok), 22:13, 21/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
ээээ мммм как бы параметризованные запросы далеко не везде возможны и уместны. Поэтому увольняю всех, кто бьет ногами себя с грудь :))) а вообще нашли себе тему... Меня больше волнует вопрос IDE. За 10 лет ни одной. Я имею ввиду, разумеется, с виртуалкой, а не текстовые редакторы с подсветкой синтаксиса, вроде Eclipse :)))

6.50, anonymous (??), 23:25, 21/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Я в курсе. Но мы говорим про mysql_real_escape_string(), нет? Если да, то оно, если меня склероз не подводит, используется для искейпинга параметров в запросах как раз. Все остальные юзкейсы этой штуки, мягко говоря, как минимум странны.

7.53, pro100master (ok), 00:27, 22/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>Я в курсе. Но мы говорим про mysql_real_escape_string(), нет? > >Если да, то оно, если меня склероз не подводит, используется для искейпинга >параметров в запросах как раз. Все остальные юзкейсы этой штуки, мягко >говоря, как минимум странны. вы говорите(!). Я не считаю такой подход правильным - никакие данные не могут считаться достоверными, пока не доказано обратное. Молитесь другим богам - ваше право. Но не делайте из этого священной коровы. Они не любят этого :)))

2.44, Dimez (??), 23:43, 20/11/2009 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
> mysql_escape_string() deprecated, use mysql_real_escape_string() instead Отлично! :)

1.41, Аноним (-), 20:13, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
поскорей бы в портах появилось

1.43, thevery (??), 22:31, 20/11/2009 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]

+/–

про epic fail со страницей релиза постестнялись написать?

"Fatal error: Call to undefined function bugfix() in /home/php/public_html/releases/5_3_1.php on line 23"

http://www.picamatic.com/view/6011487_Screen_shot_2009-11-20_at_22.29.29/

2.45, Cattle (?), 02:09, 21/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
фейк

3.46, thevery (??), 04:13, 21/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
с фига ли фейк-то? этот скриншот я лично снимал, но если не верите, тое http://twitter.com/#search?q=PHP%205.3.1%20fatal%20error

4.49, pro100master (ok), 22:14, 21/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>с фига ли фейк-то? этот скриншот я лично снимал, но если не >верите, тое >http://twitter.com/#search?q=PHP%205.3.1%20fatal%20error и в чем проблема? Мы тоже делаем все в песочнице-wrapper'e. Это не "epic fail", а просто "fail" :)))

5.51, anonymous (??), 23:29, 21/11/2009 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
> Это не "epic fail", а просто "fail" :))) Нет разделения production - testing - development? Нет, это именно epic fail. Если, конечно, речь о каком-либо крупном и посещаемом сайте. php.net под описание подходит.

6.52, pro100master (ok), 00:24, 22/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
если вас интересуют подробности организации php.net, то можете задать им вопрос. То, что приводится по ссылкам выше, это напоминает из серии "я видел ЭТО". Я видел 500 на лента.ру. Это "epic fail"? А на ютубе белую страницу. Это тоже? :)))

7.55, thevery (??), 01:02, 22/11/2009 [^] [^^] [^^^] [ответить] [к модератору]

+/–

>что приводится по ссылкам выше, это напоминает из серии "я видел
>ЭТО".

проблема в том, что после выкладывания новости мало того что никто не проверил, так ещё и исправить не один час не могли.

>Я видел 500 на лента.ру. Это "epic fail"? А на
>ютубе белую страницу. Это тоже? :)))

я видел у гугла индексную страницу апача, и что?

8.58, pro100master (ok), 11:39, 22/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
не знаем мы, что там произошло Возможно а они арендуют хостинг где-то что-то ... текст свёрнут, показать

5.54, thevery (??), 01:00, 22/11/2009 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
>и в чем проблема? проблема в том, что даже собственный сайт у пэхэпэшников не работает как следует.

6.56, keeper (ok), 10:35, 22/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>проблема в том, что даже собственный сайт у пэхэпэшников не работает как >следует. А разгадка одна.

6.57, pro100master (ok), 11:34, 22/11/2009 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Забавно. Uptime 99.9% считается нормой. Но ни один клиент почему-то не думает, что это ~10 часов простоя. Так и вам - лишь бы по троллить :)))

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: