Suhosin

Suhosin rozšiřuje vestavěný bezpečnostní mechanismy PHP, přidáním odhalování, prevenci a opravy známých bezpečnostních rizik a PHP nedostatky.
Suhosin se skládá z různých patchů pro ochranu low-level.
To může zabránit bufferoverflows nebo formát řetězců zranitelnost, spolu s dalšími problémy.
Součástí je také výkonný PHP rozšíření, rozšíření, která zahrnuje různé menší metody ochrany

Co je nového v této verzi:.

• Přidána ochrana SQL injection pro mysqli a několik testovacích případů
• Přidána zástupnými znaky odpovídající pro SQL uživatelské jméno
• Přidána kontrola na SQL uživatelské jméno obsahovat pouze platné znaky (& # X3e = ASCII 32)
• Testovací případy pro user_prefix a user_postfix
• Přidána experimentální podpora CHOP
• SQL jiné než mysql kontroly (mysqli + old-style), musí být povolen s configure --enable-Suhosin-experimentální, např MSSQL.
• disallow_ws nyní splňuje všechny single-byte znaky whitespace
• remove_binary a disallow_binary nyní volitelně umožňují UTF-8.
• Představený suhosin.upload.allow_utf8 (experimentální)
• reimplemented suhosin_get_raw_cookies ()
• Pevná potenciál segfault pro disable_display_errors = selžou (pouze pro ARM)
• Pevná potenciál NULL-pointer dereference s func.blacklist a přihlášení
• protokolování časové značky jsou localtime místo GMT teď
• Přidán nový index pole filtr (znak whitelist / blacklist)
• Nastavit jako výchozí index pole černé listiny k "& quot; + - & # x3c; & # x3e ;; ()
• Přidána možnost potlačit datum / čas pro Suhosin souboru protokolování (suhosin.log.file.time = 0)
• Přidal jednoduchý skript pro vytvoření binárního balíčku pro Debian
• Opraveny další rekurze problémy s psovodem relace
• Suhosin nyní závisí na php_session.h místo specifické verze struct kód

Co je nového ve verzi 0.9.37.1:

• Added SQL ochrany vstřikování pro mysqli a několik testovacích případů
• Přidána zástupnými znaky odpovídající pro SQL uživatelské jméno
• Přidána kontrola na SQL uživatelské jméno obsahovat pouze platné znaky (& # X3e = ASCII 32)
• Testovací případy pro user_prefix a user_postfix
• Přidána experimentální podpora CHOP
• SQL jiné než mysql kontroly (mysqli + old-style), musí být povolen s configure --enable-Suhosin-experimentální, např MSSQL.
• disallow_ws nyní splňuje všechny single-byte znaky whitespace
• remove_binary a disallow_binary nyní volitelně umožňují UTF-8.
• Představený suhosin.upload.allow_utf8 (experimentální)
• reimplemented suhosin_get_raw_cookies ()
• Pevná potenciál segfault pro disable_display_errors = selžou (pouze pro ARM)
• Pevná potenciál NULL-pointer dereference s func.blacklist a přihlášení
• protokolování časové značky jsou localtime místo GMT teď
• Přidán nový index pole filtr (znak whitelist / blacklist)
• Nastavit jako výchozí index pole černé listiny k "& quot; + - & # x3c; & # x3e ;; ()
• Přidána možnost potlačit datum / čas pro Suhosin souboru protokolování (suhosin.log.file.time = 0)
• Přidal jednoduchý skript pro vytvoření binárního balíčku pro Debian
• Opraveny další rekurze problémy s psovodem relace
• Suhosin nyní závisí na php_session.h místo specifické verze struct kód

Co je nového ve verzi 0.9.37-dev:

• Přidána kontrola na SQL uživatelské jméno pouze obsahovat Platné znaky (& # x3e = ASCII 32)
• Testovací případy pro user_prefix a user_postfix
• Přidána experimentální podpora CHOP
• SQL jiné než mysql kontroly (mysqli + old-style), musí být povolen s configure --enable-Suhosin-experimentální, např MSSQL.
• Disallow_ws nyní splňuje všechny single-byte znaky whitespace
• Remove_binary a disallow_binary nyní volitelně umožňují UTF-8.

Co je nového ve verzi 0.9.33:

• Zastavit mbstring rozšíření z nahrazení POST manipulátory
• Doplněna detekce rozšíření manipulačních POST manipulátory
• Pevné proměnné prostředí pro protokolování nejdou přes rozšíření filtr už
• Pevná zásobníku založená buffer overflow v průhledném cookie šifrování (viz zvláštní zpravodaj)
• Pevná že zakázání HTTP ochrana rozdělení odpověď rovněž zakázána NUL ochrana byte v HTTP hlavičkách
• Odstraněna crypt () podpora - protože nepoužívají pro PHP & # X3e = 5.3.0 Stejně