Suhosin

Suhosin rozszerza wbudowane mechanizmy bezpieczeństwa PHP, dodając wykrywania, zapobiegania i poprawki dla znanych zagrożeń bezpieczeństwa PHP i wad.
Suhosin składa się z różnych poprawek ochrony niskim poziomie.
To może zapobiec bufferoverflows lub luk format string, wraz z innymi problemami.
Obejmuje ona także potężne rozszerzenie PHP, rozszerzenie, które obejmuje różne mniejsze metod ochrony

Co nowego w tym wydaniu:.

• Dodano SQL injection dla ochrony i kilka testów mysqli przypadki,
• Dodane dopasowanie wieloznaczny dla SQL Użytkownik
• Dodano sprawdzić SQL nazwę użytkownika, aby zawierać tylko prawidłowe znaki (& # x3e = ASCII 32)
• Przypadki testowe dla user_prefix i user_postfix
• Dodano eksperymentalne wsparcie PDO
• Kontrole SQL inne niż mysql (MySQLi + starym stylu) musi być włączone w configure --enable-suhosin-eksperymentalne, np MSSQL.
• disallow_ws teraz pasuje do wszystkich jednobajtowe białe znaki
• remove_binary i disallow_binary teraz opcjonalnie pozwalają UTF-8.
• Wprowadzony suhosin.upload.allow_utf8 (doświadczalnie)
• przepisany suhosin_get_raw_cookies ()
• Naprawiono potencjalny segfault na disable_display_errors = fail (tylko na ARM)
• Naprawiono potencjalny wskaźnik NULL dereference z func.blacklist i zalogowaniu
• znaczniki czasu pozyskujących są localtime zamiast GMT teraz
• Dodano nowy filtr indeks tablicy (postać biała lista / czarna lista)
• Ustaw domyślny indeks tablicy do czarnej listy '& quot; + - & # x3c; & # x3e ;; ()
• Dodano opcję do tłumienia datę / godzinę dla pliku suhosin zalogowaniu (suhosin.log.file.time = 0)
• Dodane prosty skrypt do tworzenia binarnego pakietu Debiana
• Stałe dodatkowe problemy z obsługi sesji rekurencja
• Suhosin zależy teraz od php_session.h zamiast specyficznego kodu wersji struct

Co nowego w wersji 0.9.37.1:

• Added SQL ochrony wtrysku dla mysqli i kilka przypadków testowych
• Dodane dopasowanie wieloznaczny dla SQL Użytkownik
• Dodano sprawdzić SQL nazwę użytkownika, aby zawierać tylko prawidłowe znaki (& # x3e = ASCII 32)
• Przypadki testowe dla user_prefix i user_postfix
• Dodano eksperymentalne wsparcie PDO
• Kontrole SQL inne niż mysql (MySQLi + starym stylu) musi być włączone w configure --enable-suhosin-eksperymentalne, np MSSQL.
• disallow_ws teraz pasuje do wszystkich jednobajtowe białe znaki
• remove_binary i disallow_binary teraz opcjonalnie pozwalają UTF-8.
• Wprowadzony suhosin.upload.allow_utf8 (doświadczalnie)
• przepisany suhosin_get_raw_cookies ()
• Naprawiono potencjalny segfault na disable_display_errors = fail (tylko na ARM)
• Naprawiono potencjalny wskaźnik NULL dereference z func.blacklist i zalogowaniu
• znaczniki czasu pozyskujących są localtime zamiast GMT teraz
• Dodano nowy filtr indeks tablicy (postać biała lista / czarna lista)
• Ustaw domyślny indeks tablicy do czarnej listy '& quot; + - & # x3c; & # x3e ;; ()
• Dodano opcję do tłumienia datę / godzinę dla pliku suhosin zalogowaniu (suhosin.log.file.time = 0)
• Dodane prosty skrypt do tworzenia binarnego pakietu Debiana
• Stałe dodatkowe problemy z obsługi sesji rekurencja
• Suhosin zależy teraz od php_session.h zamiast specyficznego kodu wersji struct

Co nowego w wersji 0.9.37-dev:

• Dodano sprawdzić SQL zawiera tylko nazwę użytkownika dozwolone znaki (& # x3e = ASCII 32)
• Przypadki testowe dla user_prefix i user_postfix
• Dodano eksperymentalne wsparcie PDO
• Kontrole SQL inne niż mysql (MySQLi + starym stylu) musi być włączone w configure --enable-suhosin-eksperymentalne, np MSSQL.
• Disallow_ws teraz pasuje do wszystkich jednobajtowe białe znaki
• Remove_binary i disallow_binary teraz opcjonalnie pozwalają UTF-8.

Co nowego w wersji 0.9.33:

• Zatrzymaj mbstring rozszerzenie z wymianą teleskopowe POST
• Dodano wykrywanie manipulacji teleskopowe POST rozszerzeń
• Poprawiono zmienne środowiskowe dla logowania nie wychodzą poprzez rozszerzenie filtra już
• Stała oparta przepełnienie bufora stosu przezroczystego szyfrowania plików cookie w (patrz oddzielny doradztwo)
• Poprawiono że wyłączenie ochrony podział odpowiedzi HTTP także wyłączenie NUL ochrony bajtów nagłówków HTTP,
• Usunięto crypt () wsparcie - ponieważ nie jest używany przez PHP & # x3e = 5.3.0 tak,