Suhosin

Suhosin erstreckt eingebaute PHP-Sicherheitsmechanismen, durch Zugabe von Erkennung, Vermeidung und Fixes für bekannte PHP Sicherheitsrisiken und Schwachstellen.
Suhosin besteht aus verschiedenen Unterniveauschutz Patches gemacht.
Es kann bufferoverflows oder Format-String-Schwachstellen zu verhindern, zusammen mit anderen Problemen.
Es enthält auch eine leistungsstarke PHP-Erweiterung, eine Erweiterung, die verschiedenen kleineren Schutzverfahren umfasst

Was ist neu in dieser Pressemitteilung:.

• Hinzugefügt SQL-Injection-Schutz für Mysqli und mehrere Testfälle
• Hinzugefügt Wildcard Matching für SQL Benutzername
• Hinzugefügt Check für SQL Benutzernamen enthalten nur gültige Zeichen (& # x3e; = ASCII 32)
• Die Testfälle für user_prefix und user_postfix
• PDO Hinzugefügt experimentelle Unterstützung
• SQL außer mysql Kontrollen (Mysqli + alten Stil) sind mit configure --enable-Suhosin-experimentellen, zB aktiviert sein MSSQL.
• disallow_ws passt nun alle Single-Byte-Whitespace-Zeichen
• remove_binary und disallow_binary nun optional erlauben UTF-8.
• Eingeführt suhosin.upload.allow_utf8 (experimentell)
• neu implementiert suhosin_get_raw_cookies ()
• Feste Potenzial segfault für disable_display_errors = fehlschlagen (nur auf ARM)
• Feste Potenzial NULL-Pointer-Dereference mit func.blacklist und Anmeldung
• Logging Zeitstempel local statt GMT jetzt
• Es wurden neue Array-Index-Filter (Charakter Whitelist / Blacklist)
• Set Default Array-Index-Blacklist zu "& quot; + - & # X3C; & # x3e ;; ()
• Option hinzugefügt, um Datum / Uhrzeit für suhosin Datei unterdrücken, Protokollierung (suhosin.log.file.time = 0)
• Hinzugefügt einfaches Skript, um binäre Debian-Paket zu erstellen
• Feste zusätzliche Rekursion Probleme mit Session-Prozedur
• Suhosin hängt nun von php_session.h statt versionsspezifischen struct Code

Was ist neu in Version 0.9.37.1:

• Added SQL-Injection-Schutz für Mysqli und mehrere Testfälle
• Hinzugefügt Wildcard Matching für SQL Benutzername
• Hinzugefügt Check für SQL Benutzernamen enthalten nur gültige Zeichen (& # x3e; = ASCII 32)
• Die Testfälle für user_prefix und user_postfix
• PDO Hinzugefügt experimentelle Unterstützung
• SQL außer mysql Kontrollen (Mysqli + alten Stil) sind mit configure --enable-Suhosin-experimentellen, zB aktiviert sein MSSQL.
• disallow_ws passt nun alle Single-Byte-Whitespace-Zeichen
• remove_binary und disallow_binary nun optional erlauben UTF-8.
• Eingeführt suhosin.upload.allow_utf8 (experimentell)
• neu implementiert suhosin_get_raw_cookies ()
• Feste Potenzial segfault für disable_display_errors = fehlschlagen (nur auf ARM)
• Feste Potenzial NULL-Pointer-Dereference mit func.blacklist und Anmeldung
• Logging Zeitstempel local statt GMT jetzt
• Es wurden neue Array-Index-Filter (Charakter Whitelist / Blacklist)
• Set Default Array-Index-Blacklist zu "& quot; + - & # X3C; & # x3e ;; ()
• Option hinzugefügt, um Datum / Uhrzeit für suhosin Datei unterdrücken, Protokollierung (suhosin.log.file.time = 0)
• Hinzugefügt einfaches Skript, um binäre Debian-Paket zu erstellen
• Feste zusätzliche Rekursion Probleme mit Session-Prozedur
• Suhosin hängt nun von php_session.h statt versionsspezifischen struct Code

Was ist neu in Version 0.9.37-dev:

• Hinzugefügt Check für SQL Benutzernamen enthalten nur gültige Zeichen (& # x3e; = ASCII 32)
• Die Testfälle für user_prefix und user_postfix
• PDO Hinzugefügt experimentelle Unterstützung
• SQL außer mysql Kontrollen (Mysqli + alten Stil) sind mit configure --enable-Suhosin-experimentellen, zB aktiviert sein MSSQL.
• Disallow_ws passt nun alle Single-Byte-Whitespace-Zeichen
• Remove_binary und disallow_binary nun optional erlauben UTF-8.

Was ist neu in Version 0.9.33:

• Stop mbstring Erweiterung von Ersatz-Handler POST
• Hinzugefügt Nachweis von Erweiterungen zu manipulieren POST-Handler
• Feste Umgebungsvariablen für die Anmeldung nicht durch den Filter-Erweiterung mehr gehen
• Feste Stapel basierten Pufferüberlauf in transparent Cookie-Verschlüsselung (siehe separate Beratungs)
• Fest, dass das Deaktivieren HTTP Response Splitting-Schutz auch deaktiviert NUL Byte Schutz in HTTP-Header
• Entfernt crypt () Unterstützung - weil nicht für PHP & # X3e verwendet; = 5.3.0 sowieso