以前、Month of PHP Bugs and PHP 5.2.1 において、3月に1日1つずつ PHP のセキュリティ問題を公開していくという話がありましたが、開始されていました。 the Month of PHP Bugs(http://www.php-security.org/) 現在、以下の3つが登録されています。しばら…

PHP 4.4.6 が公開されましたので、PHP 4.4.6 の ChangeLog を和訳してみました。 間違いや誤訳を見つけたらコメント欄などで教えてください。英文付きの PHP 4.4.6 ChangeLog 和訳も作成してみました。 PCRE (Perl 互換の正規表現拡張モジュール)のバージョ…

PHP 4.4.5 が公開されましたので、PHP 4.4.5 の ChangeLog を和訳してみました。 PHP 5.2.1 に比べて大くはありませんでしたので、以下にも載せておきます。誤訳や間違いがあると思いますので、間違いや誤訳を見つけたらコメント欄などで教えてください。英…

PHP 5.2.1 に CP932 系エンコーディングの追加パッチが適用 ChangeLog などには書かれていませんが、PHP 5.2.1 では、mbstring に CP932 系エンコーディングの追加パッチが適用されました。PHP 5.2.1 からは CP51932、ISO-2022-JP-MS が使用可能になっていま…

PHP Multiple Vulnerabilities (Secunia) PHP Security From The Inside (Security Focus) Stefan Esser へのインタビューです。PHP のセキュリティ問題に関していろいろ興味深い話がされています。 Month of PHP Bugs and PHP 5.2.1 3月から1日に1つずつ PH…

PHP 5.2.1 から --enable-memory-limit がデフォルトで有効になりました。configure のオプションからも外され、memory_limit は無効にはできなくなっています。また、php.ini のデフォルトが memory_limit = 128M になっています。 今まで memory_limit を…

少し前になりますが、PHP 5.2.1 が公開されました。 http://php.net/ http://php.net/releases/5_2_1.php http://php.net/ChangeLog-5.php#5.2.1 多くのセキュリティ問題の修正が行われていますので、PHP 5.2.0 以下の PHP 5.x を使用している場合はアップグ…

もうすぐ PHP 5.2.1 が公開されそうです。 おそらく、これ以上大きな変更はないとないと思いますので、PHP 5.2.0 以降で気になった部分を何回かに分けてメモしておこうと思います。 何か間違いなどありましたら指摘してください。

PHP 5.2.0 以降では、Cookie に HttpOnly 属性を付加することができるようになりました。 ブラウザが対応していれば、ブラウザ側では、Cookie に対して通常のアクセスのみ(HTTP を通してのみ)が可能になります。 Javascript などのスクリプトから Cookie に…

allow_url_include は PHP 5.2.0 から追加された設定です(デフォルト無効[Off])。 このオプションが有効になっている場合は、include(), include_once(), require(), require_once() で URL 対応の fopen ラッパーが使用できます。 PHP マニュアル: allow_ur…

php 5.2.0 から data: ストリームラッパーが利用できるようになりました。 PHP マニュアル: Data (RFC 2397) http://php.net/wrappers.data 使いようによっては、おそらく便利な機能ですが、include() や require() に任意の値の入力を許していると、php://i…