Suhosin

Suhosin breidt ingebouwde PHP beveiligingsmechanismen, door het toevoegen van detectie, preventie en oplossingen voor bekende PHP security risico's en gebreken.
Suhosin is opgebouwd uit verschillende low-level bescherming patches.
Het kan bufferoverflows of format string kwetsbaarheden te voorkomen, en andere problemen.
Het bevat ook een krachtige PHP-extensie, een extensie die diverse kleinere methoden bescherming omvat

Wat is nieuw in deze release:.

• Toegevoegd SQL-injectie bescherming mysqli en diverse testcases
• Toegevoegd wildcard matching voor SQL gebruikersnaam
• Toegevoegd cheque voor SQL gebruikersnaam bevat alleen geldige tekens (& # x3e; = ASCII 32)
• Test gevallen user_prefix en user_postfix
• Toegevoegd experimentele PDO ondersteuning
• SQL dan mysql controles (mysqli + oude stijl) moet worden ingeschakeld met configure --enable-suhosin-experimenteel, bijvoorbeeld MSSQL.
• disallow_ws past nu allemaal single-byte witruimte tekens
• remove_binary en disallow_binary nu optioneel mogelijk UTF-8.
• Geïntroduceerd suhosin.upload.allow_utf8 (experimenteel)
• opnieuw geïmplementeerd suhosin_get_raw_cookies ()
• Vast potentieel segfault voor disable_display_errors = fail (alleen op ARM)
• Vast potentiële NULL-pointer dereference met func.blacklist en inloggen
• Logging timestamps zijn localtime in plaats van GMT nu
• Toegevoegd nieuwe array index filter (karakter whitelist / blacklist)
• Stel standaard scala index zwarte lijst te '& quot; + - & # X3c; & # x3e ;; ()
• Toegevoegde optie om te onderdrukken datum / tijd voor suhosin bestand logging (suhosin.log.file.time = 0)
• Toegevoegd eenvoudig script om binaire Debian pakket te maken
• Vast extra recursie problemen sessie handler
• Suhosin hangt nu af van php_session.h plaats van versie-specifieke structuur code

Wat is nieuw in versie 0.9.37.1:

• Added SQL-injectie bescherming mysqli en verschillende testcases
• Toegevoegd wildcard matching voor SQL gebruikersnaam
• Toegevoegd cheque voor SQL gebruikersnaam bevat alleen geldige tekens (& # x3e; = ASCII 32)
• Test gevallen user_prefix en user_postfix
• Toegevoegd experimentele PDO ondersteuning
• SQL dan mysql controles (mysqli + oude stijl) moet worden ingeschakeld met configure --enable-suhosin-experimenteel, bijvoorbeeld MSSQL.
• disallow_ws past nu allemaal single-byte witruimte tekens
• remove_binary en disallow_binary nu optioneel mogelijk UTF-8.
• Geïntroduceerd suhosin.upload.allow_utf8 (experimenteel)
• opnieuw geïmplementeerd suhosin_get_raw_cookies ()
• Vast potentieel segfault voor disable_display_errors = fail (alleen op ARM)
• Vast potentiële NULL-pointer dereference met func.blacklist en inloggen
• Logging timestamps zijn localtime in plaats van GMT nu
• Toegevoegd nieuwe array index filter (karakter whitelist / blacklist)
• Stel standaard scala index zwarte lijst te '& quot; + - & # X3c; & # x3e ;; ()
• Toegevoegde optie om te onderdrukken datum / tijd voor suhosin bestand logging (suhosin.log.file.time = 0)
• Toegevoegd eenvoudig script om binaire Debian pakket te maken
• Vast extra recursie problemen sessie handler
• Suhosin hangt nu af van php_session.h plaats van versie-specifieke structuur code

Wat is nieuw in versie 0.9.37-dev:

• Toegevoegd cheque voor SQL gebruikersnaam om alleen te bevatten geldige tekens (& # x3e; = ASCII 32)
• Test gevallen user_prefix en user_postfix
• Toegevoegd experimentele PDO ondersteuning
• SQL dan mysql controles (mysqli + oude stijl) moet worden ingeschakeld met configure --enable-suhosin-experimenteel, bijvoorbeeld MSSQL.
• Disallow_ws past nu allemaal single-byte witruimte tekens
• Remove_binary en disallow_binary nu optioneel mogelijk UTF-8.

Wat is nieuw in versie 0.9.33:

• Stoppen mbstring uitbreiding van het vervangen van POST verreikers
• Nieuwe detectiemogelijkheden voor extensies manipuleren POST verreikers
• Vast omgevingsvariabelen voor het loggen niet meer gaan door het filter extensie
• Vast stack gebaseerde buffer overflow in transparante cookie-encryptie (zie apart advies)
• Fixed dat het uitschakelen van HTTP response splitting bescherming ook uitgeschakeld NUL byte bescherming in HTTP-headers
• Removed crypt () ondersteuning - omdat niet gebruikt voor PHP & # x3e; = 5.3.0 toch