Suhosin

Suhosin ขยายในตัวกลไกความปลอดภัย PHP, โดยการเพิ่มการตรวจสอบการป้องกันและแก้ไขการรักษาความปลอดภัยสำหรับความเสี่ยงที่เป็นที่รู้จัก PHP และข้อบกพร่อง
suhosin ถูกสร้างขึ้นจากแพทช์การป้องกันในระดับต่ำต่างๆ
มันสามารถป้องกันไม่ให้ bufferoverflows หรือรูปแบบช่องโหว่สตริงพร้อมกับปัญหาอื่น ๆ
นอกจากนี้ยังรวมถึงการขยาย PHP ที่มีประสิทธิภาพส่วนขยายที่มีขนาดเล็กต่างๆวิธีการป้องกัน

มีอะไรใหม่ ในข่าวประชาสัมพันธ์ฉบับนี้.

• เพิ่มการป้องกันการฉีด SQL สำหรับ mysqli และอีกหลายกรณีทดสอบ
• การจับคู่สัญลักษณ์เพิ่มชื่อผู้ใช้ SQL
• เพิ่มการตรวจสอบชื่อผู้ใช้ SQL เพื่อเพียง แต่มีตัวละครที่ถูกต้อง (& # x3e; = ASCII 32)
• กรณีทดสอบ user_prefix และ use​​r_postfix
• เพิ่มการสนับสนุน PDO ทดลอง
• การตรวจสอบอื่น ๆ นอกเหนือจาก SQL MySQL (mysqli + แบบเก่า) จะต้องเปิดการใช้งานที่มีการกำหนดค่า --enable-suhosin ทดลองเช่น MSSQL.
• disallow_ws ตอนนี้ตรงกับตัวละครทุกช่องว่างไบต์เดี่ยว
• remove_binary และ disallow_binary ตอนนี้เลือกที่ช่วยให้ UTF-8.
• แนะนำ suhosin.upload.allow_utf8 (จากการทดลอง)
• reimplemented suhosin_get_raw_cookies ()
• segfault คงมีศักยภาพสำหรับ disable_display_errors = ล้มเหลว (เฉพาะ ARM)
• ศักยภาพ dereference ตัวชี้โมฆะคงมี func.blacklist และเข้าสู่ระบบ
• บันทึกเวลาเข้าสู่ระบบเป็น localtime แทน GMT ตอนนี้
• เพิ่มดัชนีอาเรย์ใหม่กรอง (บัญชีขาวตัวอักษร / บัญชีดำ)
• ตั้งค่าบัญชีดำดัชนีอาเรย์เริ่มต้นที่ '& quot; + - & # x3c; & # x3e ;; ()
• เพิ่มตัวเลือกในการปราบปรามวันที่ / เวลาสำหรับแฟ้ม suhosin เข้าสู่ระบบ (suhosin.log.file.time = 0)
• เพิ่มสคริปต์ง่ายในการสร้างแพคเกจเดไบนารี
• คงที่ปัญหาการเรียกซ้ำเพิ่มเติมด้วยการจัดการเซสชั่น
• Suhosin ตอนนี้ขึ้นอยู่กับ php_session.h แทนรหัส struct รุ่นเฉพาะ

มีอะไรใหม่ ในรุ่น 0.9.37.1:

• Added ป้องกันการฉีด SQL สำหรับ mysqli และอีกหลายกรณีทดสอบ
• การจับคู่สัญลักษณ์เพิ่มชื่อผู้ใช้ SQL
• เพิ่มการตรวจสอบชื่อผู้ใช้ SQL เพื่อเพียง แต่มีตัวละครที่ถูกต้อง (& # x3e; = ASCII 32)
• กรณีทดสอบ user_prefix และ use​​r_postfix
• เพิ่มการสนับสนุน PDO ทดลอง
• การตรวจสอบอื่น ๆ นอกเหนือจาก SQL MySQL (mysqli + แบบเก่า) จะต้องเปิดการใช้งานที่มีการกำหนดค่า --enable-suhosin ทดลองเช่น MSSQL.
• disallow_ws ตอนนี้ตรงกับตัวละครทุกช่องว่างไบต์เดี่ยว
• remove_binary และ disallow_binary ตอนนี้เลือกที่ช่วยให้ UTF-8.
• แนะนำ suhosin.upload.allow_utf8 (จากการทดลอง)
• reimplemented suhosin_get_raw_cookies ()
• segfault คงมีศักยภาพสำหรับ disable_display_errors = ล้มเหลว (เฉพาะ ARM)
• ศักยภาพ dereference ตัวชี้โมฆะคงมี func.blacklist และเข้าสู่ระบบ
• บันทึกเวลาเข้าสู่ระบบเป็น localtime แทน GMT ตอนนี้
• เพิ่มดัชนีอาเรย์ใหม่กรอง (บัญชีขาวตัวอักษร / บัญชีดำ)
• ตั้งค่าบัญชีดำดัชนีอาเรย์เริ่มต้นที่ '& quot; + - & # x3c; & # x3e ;; ()
• เพิ่มตัวเลือกในการปราบปรามวันที่ / เวลาสำหรับแฟ้ม suhosin เข้าสู่ระบบ (suhosin.log.file.time = 0)
• เพิ่มสคริปต์ง่ายในการสร้างแพคเกจเดไบนารี
• คงที่ปัญหาการเรียกซ้ำเพิ่มเติมด้วยการจัดการเซสชั่น
• Suhosin ตอนนี้ขึ้นอยู่กับ php_session.h แทนรหัส struct รุ่นเฉพาะ

มีอะไรใหม่ ในรุ่น 0.9.37-dev:

• เพิ่มการตรวจสอบชื่อผู้ใช้ SQL เพื่อมีเพียง อักขระที่ถูกต้อง (& # x3e; = ASCII 32)
• กรณีทดสอบ user_prefix และ use​​r_postfix
• เพิ่มการสนับสนุน PDO ทดลอง
• การตรวจสอบอื่น ๆ นอกเหนือจาก SQL MySQL (mysqli + แบบเก่า) จะต้องเปิดการใช้งานที่มีการกำหนดค่า --enable-suhosin ทดลองเช่น MSSQL.
• Disallow_ws ตอนนี้ตรงกับตัวละครทุกช่องว่างไบต์เดี่ยว
• Remove_binary และ disallow_binary ตอนนี้เลือกที่ช่วยให้ UTF-8.

มีอะไรใหม่ ในรุ่น 0.9.33:

• หยุ​​ดการขยาย mbstring จากการแทนที่รถยก POST
• การตรวจสอบเพิ่มขยายการจัดการรถยก POST
• ตัวแปรสภาพแวดล้อมที่คงที่สำหรับการเข้าสู่ระบบไม่ผ่านการขยายตัวกรองอีกต่อไป
• หน่วยความจำล้นตามสแต็คถาวรในการเข้ารหัสคุกกี้โปร่งใส (ดูคำปรึกษาที่แยกต่างหาก)
• ถาวรที่ปิดการใช้งานการป้องกันการแยกการตอบสนอง HTTP ปิดการใช้งานนอกจากนี้ยังมีการป้องกันไบต์ NUL ในส่วนหัว HTTP
• ลบฝังศพใต้ถุนโบสถ์ (สนับสนุน) - เพราะไม่ได้ใช้สำหรับ PHP & # x3e; = 5.3.0 อยู่แล้ว