PHP 5.2.9 で mbstring 関係についても多くのバグが修正されました。そのあたりについて、調べたことを PHP の mbstring に関するメモのバグ・セキュリティ問題にまとめました。何か間違いや気付いたことなどがあれば、コメントなどで教えてください。

今回の修正の中に、内部変数 strict_detection が有効な状態で、不正な文字列の文字コード検出を行うと無限ループになる問題があったのですが、今までこのバグが残っていたことを考えると、php.ini で mbstring.strict_detection = On に設定しているところは少ないのでしょうか。mb_parse_str() や mb_convert_variables() などが影響を受けるので、起こりやすいバグのような気がしたのですが。

php.ini のサンプルに設定項目がないので使っていないのかと考えて php のソースに含まれている php.ini-dist と php.ini-recommended を確認してみました。結果としては、両方とも mbstring.strict_detection という項目はありませんでした。
ただ、php.ini-recommended には、以下のように、mbstring.strict_encoding という似た項目がありました。

; enable strict encoding detection.
;mbstring.strict_encoding = Off 

mbstring.strict_detection の間違いのようです。
ちなみに、mbstring.strict_encoding = On に設定しても何も変化しません。