Представлены (http://www.php.net/archive/2012.php#id2012-09-13-1) корректирующие выпуски интерпретатора языка программирования PHP - 5.4.7 и 5.3.17, в которых устранено 29 ошибок (http://www.php.net/ChangeLog-5.php), не связанных с безопасностью, но устраняющих некоторые серьёзные проблемы со стабильностью, в том числе к крахам и утечкам памяти. Из устранённых ошибок отмечается решение проблемы с установкой исполняемых файлов php как binary.dSYM и невозможность обработать больше одной директивы для директории через registry в Windows. В анонсе настоятельно рекомендуется обновить PHP до представленных новых версий.
Отдельный интерес представляет (http://www.reddit.com/r/PHP/comments/zrprk/the_new_secure_pa...) план (https://gist.github.com/3707231) по реализации в будущей ветке PHP 5.5 нового API для хэширования паролей. Основное отличие нового API в том, что оно возьмёт на себя генерацию надёжных хэшей, скрыв от пользователя операции ручного указания salt-а и выбора алгоритма хэширования (по умолчанию используется Bcrypt (http://ru.wikipedia.org/wiki/Bcrypt)), таким образом предоставив более надёжные и простые для использования высокоуровневые функции. Создание хэша будет сведено к выполнению "$hash = password_hash($password, PASSWORD_DEFAULT);", а проверка к вызову "password_verify($password, $hash)". В качестве причины внедрения нового API называется безалаберное отношение многих разработчиков к генерации salt-ов и повсеместный выбор нестойких к перебору алгоритмов хэширования.
URL: http://www.php.net/archive/2012.php#id2012-09-13-1
Новость: http://www.opennet.dev/opennews/art.shtml?num=34838