PHP 5.2.1 發佈公告

PHP 開發團隊在此宣布 PHP 5.2.1 正式發佈。此版本是 5.X 分支的一個主要穩定性和安全性增強版本，強烈建議所有使用者盡快升級到此版本。

PHP 5.2.1 的安全性增強和修復

• 修復了工作階段擴充套件中可能存在的 safe_mode 和 open_basedir 繞過問題。
• 防止搜尋引擎索引 phpinfo() 頁面。
• 修復了過濾器擴充套件中的一些輸入處理錯誤。
• 修復了在 64 位元系統上使用某些輸入字串時 unserialize() 的濫用問題。
• 修復了工作階段擴充套件中可能存在的溢位和堆疊損壞問題。
• 修復了內部 sapi_header_op() 函數中的下溢問題。
• 修復了在某些程式碼路徑中嘗試分配負值所導致的分配錯誤。
• 修復了 zip、imap 和 sqlite 擴充套件中可能存在的堆疊溢位問題。
• 修正了串流過濾器中幾個可能的緩衝區溢位問題。
• 修正了 shmop 擴充功能中未驗證的資源釋放問題。
• 修正了 str_replace() 函式中一個可能的溢位問題。
• 修正了在多個程式碼路徑中可能覆蓋超級全域變數的問題。
• 修正了 wddx 擴充功能中一個可能的資訊洩漏問題。
• 修正了 64 位元系統上 *print() 函式中一個可能的字串格式漏洞。
• 修正了 mail() 和 ibase_{delete,add,modify}_user() 函式中一個可能的緩衝區溢位問題。
• 修正了 odbc_result_all() 函式中一個字串格式漏洞。
• 記憶體限制現在預設啟用。
• 新增了內部堆積保護機制。
• 在 CGI 和 apache2 SAPI 中擴展了 filter 擴充功能對 $_SERVER 的支援。

大多數已發現並解決的安全性漏洞在大部分情況下只能被本地使用者濫用，且無法遠端觸發。然而，上述某些問題在特定情況下可以被遠端觸發，或者在使用 PHP 作為 Apache 模組的共享主機設定上被惡意本地使用者利用。因此，我們強烈建議所有 PHP 使用者，無論版本為何，都應盡快升級到 5.2.1 版。也提供了具有相同安全性修正的 PHP 4.4.5 版。

PHP 5.2.1 的主要改進包括：

• 引擎、串流 API 和一些 Windows 特定優化方面的多項效能改進。
• PDO_MySQL 現在預設使用緩衝查詢，並模擬預備語句以繞過 MySQL 預備語句 API 的限制。
• filter 和 zip 擴充功能的許多改進和增強。
• 記憶體限制現在始終啟用，這包括 Windows 版本，預設限制為 128 MB。
• 使用更快的 Win32 API 新增了多項效能優化（此更改意味著 PHP 不再支援 Windows 98）。
• 提供可下載的 Windows 版 PHP FastCGI 速度優化版本。
• 修正了超過 180 個錯誤。

對於從 PHP 5.0 和 PHP 5.1 升級的使用者，這裡提供了一份升級指南，詳細說明了這些版本與 PHP 5.2.1 之間的差異。

有關 PHP 5.2.1 中所有更改的完整列表，請參閱變更紀錄。