Suhosin

Suhosin étend intégré dans les mécanismes de sécurité de PHP, en ajoutant la détection, la prévention et des correctifs pour les risques et les failles de sécurité de PHP connus.
Suhosin se compose de divers patchs de protection de bas niveau.
Il peut empêcher bufferoverflows ou des vulnérabilités de chaîne de format, avec d'autres problèmes.
Il comprend également une extension PHP puissante, une extension qui comprend diverses méthodes de protection plus petits

Quoi de neuf dans cette version:.

• Ajout SQL protection d'injection pour Mysqli et plusieurs essais cas
• Ajout d'appariement de joker pour SQL nom d'utilisateur
• Ajout d'une vérification pour SQL nom d'utilisateur pour ne contient valable caractères (& # X3e; = ASCII 32)
• Les cas de test pour user_prefix et user_postfix
• Support PDO expérimentale Ajouté
• les vérifications SQL autres que mysql (Mysqli + vieux style) doivent être activés avec --enable-suhosin-expérimentale, par exemple, MSSQL.
• disallow_ws correspond maintenant à tous les caractères d'espacement d'un octet
• remove_binary et disallow_binary maintenant permettent éventuellement UTF-8.
• suhosin.upload.allow_utf8 Introduit (expérimental)
• suhosin_get_raw_cookies Réimplémentée ()
• erreur de segmentation potentielle fixe pour disable_display_errors = Fail (uniquement sur ARM)
• déréférence NULL-pointeur potentiel fixe avec func.blacklist et la connexion
• horodateurs de journalisation sont localtime lieu de gmt maintenant
• nouveau filtre d'indice de tableau Ajouté (caractère liste blanche / liste noire)
• Définir par défaut index de tableau à la liste noire '& quot; + - & # x3C; & # X3e ;; ()
• Ajout d'une option pour supprimer la date / heure pour le fichier de journalisation suhosin (suhosin.log.file.time = 0)
• Ajout de script simple pour créer un paquet Debian binaire
• Correction des problèmes de récursivité supplémentaires avec gestionnaire de session
• Suhosin dépend maintenant php_session.h au lieu du code de struct spécifique à la version

Ce qui est nouveau dans la version SQL 0.9.37.1:

• Added protection d'injection pour Mysqli et plusieurs cas de test
• Ajout d'appariement de joker pour SQL nom d'utilisateur
• Ajout d'une vérification pour SQL nom d'utilisateur pour ne contient valable caractères (& # X3e; = ASCII 32)
• Les cas de test pour user_prefix et user_postfix
• Support PDO expérimentale Ajouté
• les vérifications SQL autres que mysql (Mysqli + vieux style) doivent être activés avec --enable-suhosin-expérimentale, par exemple, MSSQL.
• disallow_ws correspond maintenant à tous les caractères d'espacement d'un octet
• remove_binary et disallow_binary maintenant permettent éventuellement UTF-8.
• suhosin.upload.allow_utf8 Introduit (expérimental)
• suhosin_get_raw_cookies Réimplémentée ()
• erreur de segmentation potentielle fixe pour disable_display_errors = Fail (uniquement sur ARM)
• déréférence NULL-pointeur potentiel fixe avec func.blacklist et la connexion
• horodateurs de journalisation sont localtime lieu de gmt maintenant
• nouveau filtre d'indice de tableau Ajouté (caractère liste blanche / liste noire)
• Définir par défaut index de tableau à la liste noire '& quot; + - & # x3C; & # X3e ;; ()
• Ajout d'une option pour supprimer la date / heure pour le fichier de journalisation suhosin (suhosin.log.file.time = 0)
• Ajout de script simple pour créer un paquet Debian binaire
• Correction des problèmes de récursivité supplémentaires avec gestionnaire de session
• Suhosin dépend maintenant php_session.h au lieu du code de struct spécifique à la version

Quoi de neuf dans la version 0.9.37-dev:

• Ajout d'une vérification pour SQL nom d'utilisateur pour contenir seulement caractères valides (& # X3e; = ASCII 32)
• Les cas de test pour user_prefix et user_postfix
• Support PDO expérimentale Ajouté
• les vérifications SQL autres que mysql (Mysqli + vieux style) doivent être activés avec --enable-suhosin-expérimentale, par exemple, MSSQL.
• Disallow_ws correspond maintenant à tous les caractères d'espacement d'un octet
• Remove_binary et disallow_binary maintenant permettent éventuellement UTF-8.

Quoi de neuf dans la version 0.9.33:

• Arrêter mbstring de remplacer les gestionnaires POST
• Ajout de la détection des extensions manipulant gestionnaires POST
• variables d'environnement fixes pour l'exploitation forestière ne vais plus à travers l'extension de filtre
• Correction débordement de pile à base de mémoire tampon dans le chiffrement transparent des cookies (voir consultatif distinct)
• fixe que la désactivation de la protection HTTP réponse de fractionnement également désactivé la protection de l'octet NUL dans les entêtes HTTP
• Suppression de la crypte () soutien - parce que pas utilisé pour PHP & # X3e; = 5.3.0 toute façon