[2007年11月9日]

PHP 開發團隊在此宣布 PHP 5.2.5 正式推出。此版本著重於提升 PHP 5.2.x 分支的穩定性，包含超過 60 個錯誤修正，其中一些與安全性相關。建議所有 PHP 使用者升級到此版本。

關於 PHP 5.2.5 版本的更多詳細資訊，請參閱 5.2.5 版本公告，完整的變更清單可在 PHP 5 的變更記錄 中找到。

PHP 5.2.5 中的安全性增強和修正

• 修正 dl() 僅接受檔名。由 Laurent Gaffie 回報。
• 修正 dl() 將參數大小限制為 MAXPATHLEN (CVE-2007-4887)。由 Laurent Gaffie 回報。
• 修正 htmlentities/htmlspecialchars 不接受部分多位元組序列。由 Rasmus Lerdorf 回報。
• 修正了在 fnmatch()、setlocale() 和 glob() 函式的 glibc 實作中可能觸發的緩衝區溢位。由 Laurent Gaffie 回報。
• 修正了由於安全性影響，"mail.force_extra_parameters" php.ini 指令無法在 .htaccess 中修改的問題。由 SecurityReason 回報。
• 修正錯誤 #42869 (自動工作階段 ID 插入會將工作階段 ID 新增到非本地表單)。
• 修正了錯誤 #41561（在 httpd.conf 中使用 php_admin_* 設定的值會被 ini_set() 覆蓋）。

針對從 PHP 5.0 和 PHP 5.1 升級到 PHP 5.2 的用戶，我們提供了一份升級指南，請點此處，其中詳細說明了這些版本與 PHP 5.2.5 之間的差異。

[2007年10月29日]

11 月 30 日至 12 月 1 日，歡迎參加第二屆巴西 PHP 研討會。該活動將在聖保羅奧薩斯科的 UNIFIEO 舉行。今年的研討會將可容納 1000 人。除了演講、案例研究、攤位以及新手和老手交流的時間外，還安排了 3 小時的教學課程。請造訪 網站 以了解更多詳情。11 月 9 日前報名可享早鳥優惠價。

[2007年10月3日]

PHP 文件團隊很高興宣布，用於產生 PHP 手冊的新建置系統的初始版本已發布。PhD（以 [PH]P 為基礎的 [D]ocBook 轉譯器）是用 PHP 編寫的，現在可以在 docs.php.net 上檢視其建置結果。我們鼓勵大家測試和使用此系統，以便找出並修正 錯誤。

一旦新的建置系統穩定下來，PHP 手冊預計將會有更多變更，包括改進的導覽系統和 OOP 文件的樣式。

您可以使用 my.php 將此開發鏡像設定為您的預設值。

[2007年9月21日]

11 月 7 日至 9 日，歡迎參加第二屆華盛頓特區 PHP 研討會。該活動將在華盛頓特區中心的喬治華盛頓大學卡弗里茨會議中心舉行。為期三天的研討會將於 11 月 7 日和 8 日舉行一般會議，並於 11 月 9 日以教學課程結束。今年的研討會將邀請一些 PHP 社群的頂尖演講者和開發人員，並將重點放在三個主要方向：

• 可擴展性
• 安全性
• PHP 的藝術

請參閱 網站 以了解更多詳情並進行註冊。十月中旬前可享早鳥優惠價。

[2007年9月20日]

法國 AFUP 協會很榮幸地宣布，第六屆巴黎 PHP 年會 將於 2007 年 11 月 21 日和 22 日舉行。開發人員和經理們將齊聚一堂，與 Rasmus Lerdorf、Andrei Zmievski 和其他傑出的社群專家進行為期兩天的會議，內容涵蓋企業解決方案和進階技術。

[2007年8月30日]

PHP 開發團隊在此宣布 PHP 5.2.4 正式發布。此版本著重於提升 PHP 5.2.X 分支的穩定性，除了修復幾個低優先級的安全性錯誤外，還修正了超過 120 個各種錯誤。我們鼓勵所有 PHP 用戶升級到此版本。

關於 PHP 5.2.4 版本的更多詳細資訊，請參閱 5.2.4 版本公告，完整的變更清單可在 PHP 5 的變更日誌 中找到。

PHP 5.2.4 的安全性增強和修復

• 修正了 wordwrap() 內的浮點數例外狀況（由 Mattias Bengtsson 回報）
• 修正了 GD 擴充功能內的幾個整數溢位問題（由 Mattias Bengtsson 回報）
• 修正了 chunk_split() 中的大小計算（由 Gerhard Wagner 回報）
• 修正了 str[c]spn() 中的整數溢位問題。（由 Mattias Bengtsson 回報）
• 修正 money_format() 不接受多個 %i 或 %n 符記的問題。（由 Stanislav Malyshev 回報）
• 修正 zend_alter_ini_entry() memory_limit 中的中斷漏洞。（由 Stefan Esser 回報）
• 修正當 open_basedir 或 safe_mode 啟用時，MySQL 擴充套件中 INFILE LOCAL 選項的處理方式，使其不被允許。（由 Mattias Bengtsson 回報）
• 修正 session.save_path 和 error_log 值，使其會根據 open_basedir 和 safe_mode 進行檢查 (CVE-2007-3378)（由 Maksymilian Arciemowicz 回報）
• 修正 glob() win32 實作中可能的無效讀取 (CVE-2007-3806)（由 shinnai 回報）
• 修正 php_openssl_make_REQ 中可能的緩衝區溢位漏洞。（由 zatanzlatan at hotbrev dot com 回報）
• 修正 glob() 函式內可能的 open_basedir 繞過漏洞。（由 dr at peytz dot dk 回報）
• 修正當 session 檔案是符號連結時，session 擴充套件內可能的 open_basedir 繞過漏洞。（由 c dot i dot morris at durham dot ac dot uk 回報）
• 改進 MOPB-03-2007 的修正。
• 修正 CVE-2007-2872 的修正。

對於從 PHP 5.0 和 PHP 5.1 升級到 PHP 5.2 的使用者，這裡 提供了一份升級指南，詳細說明了這些版本和 PHP 5.2.4 之間的變更。

【2007年7月25日】

千萬別錯過第三屆 Zend/PHP 研討會暨展覽！今年的研討會保證會是歷年來最棒的。加入 Zend、PHP 社群和來自世界各地的領先技術公司，一同參與為期三天的教育、學習和交流活動，以及額外一天的教學課程。2007 年的研討會將有超過 40 場會議，展覽廳將展出 Adobe、IBM、PayPal 和 Zend 等領先公司，另設有非會議區以促進即興討論，還有豐富的交流機會。

ZendCon2007 將滿足每個人的需求，從新手到進階、以商業為導向到以技術為導向。您將聽到 PHP 社群的領導者和實施 PHP 計劃的商業專家的演講。聆聽 Zend 介紹商業關鍵 PHP 的發展藍圖。與 Zend 開發團隊見面。深入了解 Zend 開源專案。

ZendCon 2007 將會是規模最大的 PHP 專屬盛會。計畫參加 ZendCon 2007，加入 PHP 社群，與來自世界各地的頂尖 PHP 專家交流學習。

更多資訊請參閱 http://www.zendcon.com/。

【2007年7月16日】

php|architect 很榮幸地宣布 php|works 2007 將於 2007 年 9 月 12 日至 14 日在美國喬治亞州亞特蘭大舉行。

今年的研討會再次保證將是所有層級 PHP 開發人員的絕佳活動，由頂尖 PHP 專家，如 Derick Rethans、Chris Shiflett、Andrei Zmievski、Sara Golemon 等人（以及許多新面孔）進行演講。

【2007年7月13日】

今天正好是 PHP 5 發布三週年。在這三年中，PHP 5 比 PHP 4 有了許多改進。PHP 5 快速、穩定且可供正式環境使用，而且隨著 PHP 6 即將推出，PHP 4 將停止支援。

PHP 開發團隊在此宣布，對 PHP 4 的支援將僅持續到今年年底。2007 年 12 月 31 日之後，將不再發布 PHP 4.4 版本。我們將持續針對重大安全性問題提供修正，直到 2008 年 8 月 8 日。請利用今年剩餘的時間，讓您的應用程式適用於 PHP 5。

關於 PHP 4 遷移到 PHP 5 的文件，我們想向您推薦我們的 遷移指南。在 PHP 5.0 到 PHP 5.1 和 PHP 5.1 到 PHP 5.2 遷移指南中也有其他資訊。

[2007年6月1日]

PHP 開發團隊在此宣布 PHP 5.2.3 正式釋出。此版本持續改進 5.X 分支的安全性及穩定性，並同時解決了先前 5.2 版本所引入的兩個回歸問題。這些回歸問題與非阻塞式 SSL 連線的逾時處理，以及在特定情況下 HTTP_RAW_POST_DATA 缺失有關。我們鼓勵所有用戶升級到此版本。

關於 PHP 5.2.3 版本的更多細節，請參考 5.2.3 版本公告，完整的變更列表可在 PHP 5 更新日誌 中找到。

PHP 5.2.3 的安全性增強和修復

• 修復了 chunk_split() 內部的整數溢位問題（由 Gerhard Wagner 發現，CVE-2007-2872）
• 修復了 imagecreatefrompng 中可能的無限迴圈問題。（由 Xavier Roche 發現，CVE-2007-2756）
• 修復了 ext/filter 電子郵件驗證漏洞（MOPB-45，由 Stefan Esser 發現，CVE-2007-1900）
• 修復了錯誤 #41492（realpath() 內部的 open_basedir/safe_mode 繞過問題）（由 bugs dot php dot net at chsc dot dk 發現）
• 改進了 CVE-2007-1887 的修復，使其能與非內建的 sqlite2 函式庫一起使用。
• 新增了 mysql_set_charset()，允許在執行期間更改連線編碼。

對於從 PHP 5.0 和 PHP 5.1 升級到 PHP 5.2 的用戶，我們提供了一份升級指南，請點此，其中詳細說明了這些版本與 PHP 5.2.3 之間的差異。

[2007年5月19日]

第四屆 網際網路技術研討會 將於 6 月 29 日至 30 日在保加利亞海濱城市瓦爾納舉行，您可以在那裡同時享受陽光、海洋和科技。

如同前三屆一樣，本次研討會將聚焦於網頁程式設計、開放原始碼和所有代表 IT 的新技術。

研討會免費參加。

[2007年5月3日]

PHP 開發團隊在此宣布 PHP 5.2.2 正式釋出 以及 PHP 4.4.7 正式釋出。這些版本針對 5.x 和 4.4.x 分支進行了重要的穩定性和安全性增強，強烈建議所有用戶盡快升級。關於 PHP 5.2.2 版本的更多細節，請參考 5.2.2 版本公告，完整的變更列表可在 PHP 5 更新日誌 中找到。關於 PHP 4.4.7 版本的更多細節，請參考 4.4.7 版本公告，完整的變更列表可在 PHP 4 更新日誌 中找到。

PHP 5.2.2 和 PHP 4.4.7 的安全性增強和修復

• 修復了 CVE-2007-1001，GD wbmp 使用無效影像大小的問題（由 Ivan Fratric 發現）
• 修復了 mail() 內部的 asciiz 位元組截斷問題（MOPB-33，由 Stefan Esser 發現）
• 修復了 mb_parse_str() 中可能被用於啟用 register_globals 的錯誤（MOPB-26，由 Stefan Esser 發現）
• 修復了 array_user_key_compare() 中未配置記憶體存取/重複釋放的問題（MOPB-24，由 Stefan Esser 發現）
• 修復了 session_regenerate_id() 內部的重複釋放問題（MOPB-22，由 Stefan Esser 發現）
• 在 zip:// 和 bzip:// 封裝器中新增了遺漏的 open_basedir 和 safe_mode 檢查。（MOPB-21，由 Stefan Esser 發現）。
• 修復了 ftp_putcmd() 內部的 CRLF 注入問題。（由 loveshell[at]Bug.Center.Team 發現）
• 修復了內建 libxmlrpc 函式庫中一個可被遠端觸發的緩衝區溢位問題。（由 Stanislav Malyshev 發現）

僅限 PHP 5.2.2 的安全性增強和修復

• 修復了透過 mail() 函式的 Subject 和 To 參數進行標頭注入的問題（MOPB-34，由 Stefan Esser 發現）
• 修正 unserialize S 類型中的長度計算錯誤 (MOPB-29，由 Stefan Esser 提交)
• 修正 substr_compare 和 substr_count 資訊洩漏問題 (MOPB-14，由 Stefan Esser 提交) (Stas, Ilia)
• 修正 make_http_soap_request() 中一個可被遠端觸發的緩衝區溢位漏洞。(由 Ilia Alshanetsky 提交)
• 修正 user_filter_factory_create() 中的一個緩衝區溢位漏洞。(由 Ilia Alshanetsky 提交)
• 修正 import_request_variables() 中一個潛在的超級全域變數覆蓋漏洞。(由 Stefano Di Paola, Stefan Esser 提交)
• 使用 max_input_nesting_level 限制輸入變數的巢狀層級，以修復此問題 (MOPB-03，由 Stefan Esser 提交)

PHP 4.4.7 的安全性增強和修復

• phpinfo() 中的 XSS 漏洞 (MOPB-8，由 Stefan Esser 提交)

雖然上述大多數問題都屬於本地問題，但在某些特定程式碼路徑的情況下，它們可能被外部觸發。因此，我們強烈建議，如果您使用的程式碼使用了被確認存在漏洞的函式和擴充功能，請考慮升級您的 PHP。

對於從 PHP 5.0 和 PHP 5.1 升級到 PHP 5.2 的用戶，我們提供了一份升級指南，在此，詳細說明了這些版本與 PHP 5.2.2 之間的變更。

更新：5 月 4 日；由於原始版本附帶的 Apache2 模組存在錯誤，PHP 4.4.7 Windows 版本已更新。

更新：5 月 23 日；由於疏忽，一些修復被列為在 PHP 5.2.2 和 4.4.7 中都已修復，但實際上只在 PHP 5.2.2 中修復。PHP 4 更新日誌未受影響。

[2007 年 4 月 14 日]

PHP 團隊再次榮幸地參與Google 程式碼之夏。今年夏天，將有七名學生「翻轉位元而不是漢堡」

• 在 Michael Wallner 的指導下，Hannes Magnusson 將致力於LiveDocs的開發，這是一個「在網頁瀏覽器中即時顯示 DocBook XML 檔案的工具，無需先建置所有 HTML 目標檔案」。這個專案對 PHP 文件團隊將具有極大的價值。
• PHP 直譯器使用參考計數來追蹤哪些物件不再被參考，從而可以被銷毀。目前實作的一個主要缺點是它無法偵測參考循環，也就是物件在一個循環圖結構中互相參考，而該結構本身沒有被循環外部的物件參考。在 Derick Rethans 的指導下，David Wang 將實作一種新的參考計數演算法來解決這個問題。
• Xdebug 為 PHP 開發人員提供了一系列有用的功能，包括詳細的錯誤資訊、程式碼覆蓋率和效能分析支援，以及使用 GDB 和 DBGp 協定的遠端除錯支援。在 Xdebug 的建立者 Derick Rethans 的指導下，Adam Harvey 將開發一個跨平台的 GUI 應用程式，該應用程式實作 DBGp 協定，並允許在與開發環境無關的方式下使用 Xdebug 對 PHP 應用程式進行除錯。
• 在 Lukas Smith 的指導下，Konsta Vesterinen 將致力於物件關聯對應器Doctrine的開發。
• 變異測試，或稱自動錯誤植入，是一種測試方法，其中測試工具會對被測試的程式碼進行一些更改，執行測試，如果測試通過，則顯示一條訊息，說明它更改了什麼。這種方法與程式碼覆蓋率分析不同，因為它可以找到那些被測試執行但實際上沒有被測試的程式碼。在 Sebastian Bergmann 的指導下，Mike Lewis 將為PHPUnit實作變異測試。
• 在 Helgi Þormar Þorbjörnsson 的指導下，Igor Feghali 將為 MDB2_Schema（一個「讓使用者以 XML 格式維護與 RDBMS 無關的結構描述檔案，可用於建立、修改和刪除資料庫實體，以及將資料插入資料庫」的套件）加入外鍵支援。
• 在 David Coallier 的指導下，Nicolas Bérard-Nault 將重構 Jaws（一個用於建構動態網站的框架和內容管理系統）的內部程式碼，以支援 PHP 6。

[2007年3月1日]

PHP 開發團隊在此宣布 PHP 4.4.6 正式推出。

此版本主要解決了 PHP 4.4.5 中引入的一個當啟用 register_globals 並使用 session 變數時發生的當機問題。

關於 PHP 4.4.6 版本的詳細資訊，請參閱 4.4.6 版本公告，完整的變更清單請參閱 PHP 4 的更新日誌。

[2007年2月8日]

PHP 開發團隊在此宣布 PHP 5.2.1 和 PHP 4.4.5 正式推出。這些版本針對 5.x 和 4.4.x 分支進行了重要的穩定性和安全性增強，強烈建議所有使用者儘快升級。關於 PHP 5.2.1 版本的詳細資訊，請參閱 5.2.1 版本公告，完整的變更清單請參閱 PHP 5 的更新日誌。關於 PHP 4.4.5 版本的詳細資訊，請參閱 4.4.5 版本公告，完整的變更清單請參閱 PHP 4 的更新日誌。

PHP 5.2.1 和 PHP 4.4.5 的安全性增強和修正

• 修正了 session 模組中可能繞過 safe_mode 和 open_basedir 的問題。
• 修正了在 64 位元系統上使用特定輸入字串時 unserialize() 的濫用問題。
• 修正了 session 模組中可能發生的溢位和堆疊損壞問題。
• 修正了內部函式 sapi_header_op() 中的下溢問題。
• 修正了 shmop 模組中未經驗證的資源銷毀問題。
• 修正了 str_replace() 函式中可能發生的溢位問題。
• 修正了在多個程式碼路徑中可能覆蓋全域變數的問題。
• 修正了 wddx 模組中可能發生的資訊洩漏問題。
• 修正了在 64 位元系統上 *print() 函式中可能發生的字串格式漏洞。
• 修正了 ibase_{delete,add,modify}_user() 函式中可能發生的緩衝區溢位問題。
• 修正了 odbc_result_all() 函式中的字串格式漏洞。

僅限 PHP 5.2.1 的安全性增強和修正

• 防止搜尋引擎索引 phpinfo() 頁面。
• 修正了 filter 模組中的一些輸入處理錯誤。
• 修正了在某些程式碼路徑中嘗試分配負值所造成的分配錯誤。
• 修正了 zip、imap 和 sqlite 模組中可能發生的堆疊/緩衝區溢位問題。
• 修正了串流過濾器中幾個可能發生的緩衝區溢位問題。
• 記憶體限制現在預設啟用。
• 增加了內部堆積保護。
• 在 CGI 和 apache2 SAPI 中擴展了 filter 模組對 $_SERVER 的支援。

僅限 PHP 4.4.5 的安全性增強和修正

• 修正了 zip 和 imap 模組中可能發生的溢位問題。
• 修正了 Windows 上 mail() 函式中可能發生的緩衝區溢位問題。
• 已移除 ovrimos 擴充套件。

大多數已發現並解決的安全漏洞，在多數情況下只能由本地使用者濫用，且無法遠端觸發。然而，在某些情況下，上述某些問題可以被遠端觸發，或在使用 PHP 作為 Apache 模組的共享主機設定上被惡意本地使用者利用。因此，我們強烈建議所有 PHP 使用者，不論版本為何，都應盡快升級至 5.2.1 或 4.4.5 版。

對於從 PHP 5.0 和 PHP 5.1 升級到 PHP 5.2 的使用者，我們提供了一份升級指南，在此，詳細說明了這些版本與 PHP 5.2.1 之間的差異。

更新：2 月 14 日；新增了 PHP 4.4.5 的發行資訊。

更新：2 月 12 日；Windows 安裝套件在從先前 PHP 版本升級時出現問題。該問題現已修復，並已將新檔案發佈至下載區。

[2007年2月8日]

php.net 首頁的新聞已變更，會議公告現在位於其專屬頁面。此變更旨在讓 php.net 的特定新聞保持清晰，也為其他新聞（例如 RC 版本）的發佈開啟了大門。更多變更即將推出，敬請關注。

[2007 年 2 月 7 日]

PHP 魁北克很高興地宣布第五屆 PHP 魁北克會議的召開。會議將於 2007 年 3 月 14 日至 16 日在加拿大蒙特婁舉行。會議包含 2 天的技術講座和額外 1 天的工作坊。演講者包括知名的 PHP 專家，例如：Rasmus Lerdorf、Andrei Zmievski、Derick Rethans、Ilia Alshanetsky、John Coggeshall、Damien Séguy 等多人。

本次會議分為三個不同的主題：進階技術、資料可用性、PHP：超越理論。PHP 魁北克會議包含超過 35 場講座和工作坊，是學習最新發展和專業技術，幫助您構建高品質 PHP 軟體並與 PHP 社群交流的絕佳機會。

所有開放原始碼社群成員和主要貢獻者均可享有特殊價格。

[2007 年 2 月 3 日]

PHP 文件團隊很榮幸向 PHP 社群展示對PHP 手冊的一些修正和調整，包括

• 改進的、基於 XSL 的建置系統，可以更及時地將編譯後的說明文件傳遞到鏡像站（告別 dsssl）
• 說明文件頁面現在可以包含圖片（例如，請參見imagearc()）
• 更新的函式版本資訊和擷取系統（減少「無版本資訊，可能僅在 CVS 中」的訊息）
• ... 還有更多！

請協助我們改進文件，方法是提交錯誤報告，並為未記錄的函式新增註釋。

[2007 年 1 月 18 日]

在 2006 年的成功之後，PHP 倫敦使用者群組將於 2007 年 2 月 23 日星期五在倫敦舉辦英國第二屆 PHP 專題會議。本次會議將是一場低成本活動，費用為一天 50 英鎊。演講者包括：Rasmus Lerdorf、Cal Evans、Simon Laws 和 Kevlin Henney。

[2007年1月12日]

php|architect 榮幸地宣布 php|tek 2007 將於 2007 年 5 月 16 日至 18 日在美國伊利諾州芝加哥舉行。

今年的研討會將再次成為所有層級 PHP 開發人員的絕佳活動，並邀請到 Rasmus Lerdorf、Chris Shiflett、Andrei Zmievski、Ilia Alshanetsky、Sara Golemon 等頂尖 PHP 專家進行演講。