Suhosin

Suhosin si estende dotati di meccanismi di sicurezza PHP, con l'aggiunta di individuare, prevenire e correzioni per noti rischi per la sicurezza di PHP e difetti.
Suhosin è costituito da varie patch di protezione di basso livello.
Può impedire bufferoverflows o vulnerabilità format string, insieme ad altri problemi.
Esso include anche un potente estensione PHP, un interno che comprende vari metodi di protezione dei minori

Cosa c'è di nuovo in questa versione:.

• Aggiunta SQL protezione iniezione per MySQLi e diversi casi di test
• Aggiunto wildcard per il nome utente SQL
• controllo aggiunto per nome utente SQL solo contenga caratteri validi (& # X3e; = ASCII 32)
• i casi di prova per user_prefix e user_postfix
• Supporto DOP sperimentale Aggiunto
• controlli SQL diversi mysql (MySQLi + vecchio stile) devono essere abilitate con configure --enable-Suhosin-sperimentale, ad esempio, MSSQL.
• disallow_ws ora partite tutti i caratteri di spazi bianchi a singolo byte
• remove_binary e disallow_binary ora opzionalmente permettono UTF-8.
• suhosin.upload.allow_utf8 Introdotto (sperimentale)
• suhosin_get_raw_cookies Rifatto ()
• fissi segfault potenziale di disable_display_errors = non riescono (solo su ARM)
• fissi potenziale NULL pointer-dereference con func.blacklist e logging
• timestamp forestale sono localtime invece di gmt ora
• Aggiunta nuovo filtro indice di array (carattere whitelist / blacklist)
• Imposta predefinito indice dell'array lista nera di '& quot; + - & # x3c; & # X3e ;; ()
• Aggiunta l'opzione per sopprimere la data / ora per il file Suhosin registrazione (suhosin.log.file.time = 0)
• Aggiunto semplice script per creare pacchetti Debian binari
• problemi di ricorsività aggiuntivi fissi con conduttore sessione
• Suhosin ora dipende php_session.h invece di specifiche della versione codice struct

Cosa c'è di nuovo nella versione 0.9.37.1:

• Added SQL protezione iniezione per MySQLi e diversi casi di test
• Aggiunto wildcard per il nome utente SQL
• controllo aggiunto per nome utente SQL solo contenga caratteri validi (& # X3e; = ASCII 32)
• i casi di prova per user_prefix e user_postfix
• Supporto DOP sperimentale Aggiunto
• controlli SQL diversi mysql (MySQLi + vecchio stile) devono essere abilitate con configure --enable-Suhosin-sperimentale, ad esempio, MSSQL.
• disallow_ws ora partite tutti i caratteri di spazi bianchi a singolo byte
• remove_binary e disallow_binary ora opzionalmente permettono UTF-8.
• suhosin.upload.allow_utf8 Introdotto (sperimentale)
• suhosin_get_raw_cookies Rifatto ()
• fissi segfault potenziale di disable_display_errors = non riescono (solo su ARM)
• fissi potenziale NULL pointer-dereference con func.blacklist e logging
• timestamp forestale sono localtime invece di gmt ora
• Aggiunta nuovo filtro indice di array (carattere whitelist / blacklist)
• Imposta predefinito indice dell'array lista nera di '& quot; + - & # x3c; & # X3e ;; ()
• Aggiunta l'opzione per sopprimere la data / ora per il file Suhosin registrazione (suhosin.log.file.time = 0)
• Aggiunto semplice script per creare pacchetti Debian binari
• problemi di ricorsività aggiuntivi fissi con conduttore sessione
• Suhosin ora dipende php_session.h invece di specifiche della versione codice struct

Cosa c'è di nuovo nella versione 0.9.37-dev:

• controllo aggiunto per nome utente SQL per contenere solo caratteri validi (& # X3e; = ASCII 32)
• i casi di prova per user_prefix e user_postfix
• Supporto DOP sperimentale Aggiunto
• controlli SQL diversi mysql (MySQLi + vecchio stile) devono essere abilitate con configure --enable-Suhosin-sperimentale, ad esempio, MSSQL.
• Disallow_ws ora corrisponde a tutti i caratteri di spazi bianchi a singolo byte
• Remove_binary e disallow_binary ora opzionalmente permettono UTF-8.

Cosa c'è di nuovo nella versione 0.9.33:

• Arresto mbstring estensione da sostituire gestori POST
• Aggiunto rilevamento di estensioni manipolare gestori POST
• variabili di ambiente fissi per la registrazione non passare attraverso il filtro di estensione più
• fissi dello stack basato overflow del buffer nella crittografia dei cookie trasparente (vedi consulenza separato)
• fissi che disabilitazione HTTP response splitting protezione anche disabilitato protezione byte NUL nelle intestazioni HTTP
• Rimosso crypt () sostegno - in quanto non utilizzate per PHP & # X3e; = 5.3.0 comunque