Данный релиз в основном является исправляющим проблемы с безопасностью. Всем пользователям ветки 4.* настоятельно рекомендуется обновится до последней версии.Изменения связанные с безопасностью (идентичные ранее исправленным (http://www.opennet.ru/opennews/art.shtml?num=9796) в PHP 5.2.1):
- Обход safe_mode и open_basedir через расширение session;
- Добавлена защита от индексирования phpinfo() страниц поисковыми системами;
- Ряд проблем в обработке входного потока в расширении filter;
- Уязвимость в коде функции unserialize() на 64 bit системах;
- Переполнение буфера и порча содержимого стека в расширении session;
- Способ вызова функции внутреннего API sapi_header_op();
- Серия проблем связанных с распределением памяти;
- Переполнение стека в расширениях zip, imap и sqlite;
- Несколько переполнений буферов в потоковых фильтрах;
- Отсутствие проверки пользовательского ввода в функциях освобождения ресурсов в расширении shmop;
- Переполнение буфера в функции str_replace();
- Возможность изменения значений системных глобальных переменных в некоторых блоках кода;
- Утечка информации в расширении wddx;
- Ошибка форматирования строки в функциях *print() на 64-битных системах;
- Переполнение буфера внутри функций mail() и ibase_{delete,add,modify}_user();
- Ошибка форматирования строки в функции odbc_result_all();
- Memory limit теперь включен по умолчанию и равен 128Мб.
- Добавлены средства защиты от переполнения кучи;
- В расширении filter добавлена поддержка $_SERVER в CGI и apache2 SAPI.URL: http://www.php.net/releases/4_4_5.php
Новость: http://www.opennet.ru/opennews/art.shtml?num=9855
Чёрт возьми, и как этим вообще пользуются?!
Это ж как шлимыл: неудобно, небезопасно и есть куча альтернатив с лучшей производительностью.
А что вы хотели? Многие PHP-скрипты написаны криво и не могут корректно работать под 5.x (где-то с 5.0.5 такое началось).
Да начнём стого, что сам php криво написан :-)
Люди! не используйте php -- пожалейте админов!
какая куча ?
незнаю как куча, но как минимум две альтернативы есть - Python и RoR
Вы же знаете, что этим вообще пользуются не менее половины проектов.Во-вторых, поделитесь претензиями к безопасности sendmail.
Я просто боюсь, что вы застряли на "Курочке Рябе" и журнале BYTE январь 1987 года.
Пора уже и "Колобка" осилить!
В функции _php_ibase_user ( см. ext/interbase/interbase.c )
забыли описание для char buf[30]Интересно, как тестировали?
Ну.... десятком-двумя дырок больше, десятком меньше... для ПХП это не так важно уже...
Всё равно меня фиг кто заставит поставить публичный сайт на пхп в незачрученном апаче. Лучше сразу увольняйте - для меня проблемм меньше будет :-)
Очень обидно, что MediaWiki написан на PHP.
Из сколько-либо ценного, вроде больше ничего.
>Очень обидно, что MediaWiki написан на PHP.
>Из сколько-либо ценного, вроде больше ничего.
Мониторинговые - Nagios, Cacti, Zabbix тоже написаны на php. Вебморды к MySQL тоже, как ни старался, не на php не нашёл. Увы...
все относительноновичкам легче освоить PHP из-за прекрасной всеязычной документации
и некой близости стиля создания программы к C, Pascalв итоге, сайтов на PHP больше чем на всех других языках
смотрим уважаемый PERL
тоже много сайтов, но пишут по большей части профи, поэтому и ошибок меньше, да и возраст старичка тоже способствует мимимизации баговидем далее
phyton и ruby не смотря на свои преимущества, пусть для начала пройдут массовую (сопостовимую с PHP) проверку вебом - думаю порядком багов сразу сыщетсянайдется их меньше или больше чем в PHP - мне пох, не цепляйтесь,
но то что их будет не мало я уверен
Слова не мальчика, но мужа :)
> в итоге, сайтов на PHP больше чем на всех других языкахВот, понравилось:
"Распространенность php вызвана легкостью установки его на сервере, малым количеством парадигм, заложенным в язык (императив + недо-ооп) -> легкость изучения а т.ж. тем, что это именно узко-нишевый язык, заточенный под веб, в отличие от java, ruby, python, perl - языков общего назначения, сравните распространенность php и perl/python на десктопе и все станет на свои места.. По большому счету это не язык, это всего лишь _препроцессор текста_, у него нет даже виртуальной машины, он не приспособлен для long-running-processes, на нем даже не напишешь stand-alone сервер, нет потоков, это паталогически _не правильный_ язык (если все же рассматривать его как язык), который подобает использовать ясно осознавая эту всю его неправильность - отсутствие модулей (пакетов, неймспейсов), отсутствие высокоуровневых типов данных, огромное количество глобальных не очень системно названных функций вида another_this_very_useful_function (ввиду отсутствия модулей), перемешивание логики работы и отображения, не способствующее MVC, отсутствие такого полезного высокоуровневого средства как исключения... Все попытки как то окультурить это дело (Smarty, всякие ORM-ы) производят впечатление мягко говоря использования средства не по назначению. php идеально подходит для не очень больших обособленных програмных комплексов типа форумов, гостевых, различных других веб-скриптов, кое-как для небольших CMS. Для других более сложных enterprise веб-приложений использование PHP возможно, но не обосновано в виду слабой масштабируемости (как там насчет кластеризации, load-balancing'а), не модульности, отсутствием высокоуровневых средств языка. В этом сигменте гораздо лучше подходят языки общего назначения, позволяющие писать приложения, выполняющиеся на специальном application server'е. А использование PHP CLI это вообще из ряда вон выходящее извращение..."
>> в итоге, сайтов на PHP больше чем на всех других языках
>
>Вот, понравилось:
<skipped>
>...на нем даже не напишешь stand-alone сервер...
А как же nanoweb? :)
> ... В этом сигменте ....
СИгмент - это сильно. Откуда такой копипейст?
>> в итоге, сайтов на PHP больше чем на всех других языках
>
>Вот, понравилось:
>(императив + недо-ооп)
Недо ООП? вы про PHP2? да, было время...
> легкость изучения а т.ж. тем, что это именно узко-нишевый язык, заточенный под веб,
Это разве плохо? да, заточен под веб.
> не напишешь stand-alone сервер, нет потоков,
Напишешь. Только зачем?
>это паталогически _не правильный_ язык
Мощный аргумент.
> - отсутствие модулей (пакетов, неймспейсов), отсутствие высокоуровневых типов данных,
И? у Perl с этим все в порядке? и Высокоуровневые типы данных присутствуют в PHP, хотя вы наверное, таки про PHP2 говорите.
>огромное количество глобальных не очень системно названных функций вида >another_this_very_useful_function (ввиду отсутствия модулей),
Вот с этим (с названиями), трудно не согласиться - болезни роста, которые сейчас преодолеваются. А на счет огромного количества, убейте меня, но я не пойму, почему это плохо. Как там отец-основатель перла говорил?
>перемешивание логики работы и отображения, не способствующее MVC,
На совести программиста, исключительно.
>отсутствие такого полезного высокоуровневого средства как исключения...
Вах! а мужики-то не знают! (все, я понял, речь идет о PHP2)
>php идеально подходит для не очень больших обособленных програмных комплексов
Вам пальцы раздвинутые в дверь проходить не мешают?
> (как там насчет кластеризации, load-balancing'а)
Чуствуется профессионализм в веб-программировании.
Причем тут, прости господи, кластеризация? Вам нужно распределенное решение? так доступно все это.
>В этом сигменте гораздо лучше подходят языки общего назначения, позволяющие писать >приложения, выполняющиеся на специальном application server'е.
В каком сегменте? В проектах масштаба гугла? да, не спорю. Точно так-же можно сказать, что рено - гавно, боинг лучше.>А использование PHP CLI это вообще из ряда вон выходящее извращение..."
Привести пример использования? Хотя о чём я... Следующий раз, когда будете бред копипастить, орфографию проверяйте и .... ну хотя-бы имейте общее представление о вопросе.
>Недо ООП? вы про PHP2? да, было время...
PHP 5. Перегрузка функций сделана просто сказочно! Не возможность создать более одного конструктора, деструктора тоже замечательно. В PHP4 вообще было откровенное уе.>Это разве плохо? да, заточен под веб.
Еще как плохо. Особенно учитывая что модель CGI не FastCGI, а именно CGI. Посмотрите как работает JSP/Servlets к примеру.>>это паталогически _не правильный_ язык
>Мощный аргумент.
Это действительно так. Отстутствие типизации, отсутсвие namespace это еще та шиза.>И? у Perl с этим все в порядке? и Высокоуровневые типы данных
>присутствуют в PHP, хотя вы наверное, таки про PHP2 говорите.
В Perl пакеты и неймспейсы есть. Какие выскооуровневые типы данных есть в PHP?>another_this_very_useful_function (ввиду отсутствия модулей),
>Вот с этим (с названиями), трудно не согласиться - болезни роста, которые
>сейчас преодолеваются. А на счет огромного количества, убейте меня, но я
>не пойму, почему это плохо. Как там отец-основатель перла говорил?
Плохо потому что их много и они обозваны абсолютно бессистемно. Учитывая отсутсвие неймспейсов и модулей получаем безумную кашу.>>перемешивание логики работы и отображения, не способствующее MVC,
>На совести программиста, исключительно.
Ага и большая часть про нее не знает. Причем что интересно большая часть фреймвоков для веба используют эту модель и только спецальный язык для генерации динамических страниц не умеет это из коробки.>>отсутствие такого полезного высокоуровневого средства как исключения...
>Вах! а мужики-то не знают! (все, я понял, речь идет о PHP2)
Ага и для чего и когда оно работает? :)>>А использование PHP CLI это вообще из ряда вон выходящее извращение..."
>
>Привести пример использования?
Забивать гвозди можно и граблями, но это не очень знаете ли удобно.
>>Недо ООП? вы про PHP2? да, было время...
>PHP 5. Перегрузка функций сделана просто сказочно! Не возможность создать более одного
>конструктора, деструктора тоже замечательно. В PHP4 вообще было откровенное уе.
С перегрузкой вопрос уж с год как решён. Насчёт деструкторов/конструкторов - "PHP был и остаётся процедурным языком" (c) Лендорф, по поводу выхода PHP5
>>Это разве плохо? да, заточен под веб.
>Еще как плохо. Особенно учитывая что модель CGI не FastCGI, а именно
>CGI. Посмотрите как работает JSP/Servlets к примеру.
Э... а mod_php5 отменили? с какого числа?
>>>это паталогически _не правильный_ язык
>>Мощный аргумент.
>Это действительно так. Отстутствие типизации, отсутсвие namespace это еще та шиза.
Отсутствие типизации - это не всегда зло.
>>И? у Perl с этим все в порядке? и Высокоуровневые типы данных
>>присутствуют в PHP, хотя вы наверное, таки про PHP2 говорите.
>В Perl пакеты и неймспейсы есть. Какие выскооуровневые типы данных есть в
>PHP?
да, тут я несколько зарвался, но и пакеты и неймспейсы вобщем достижимы (foo::method - такие конструкции для организации пронстранства имён доступны)
>>another_this_very_useful_function (ввиду отсутствия модулей),
>>Вот с этим (с названиями), трудно не согласиться - болезни роста, которые
>>сейчас преодолеваются. А на счет огромного количества, убейте меня, но я
>>не пойму, почему это плохо. Как там отец-основатель перла говорил?
>Плохо потому что их много и они обозваны абсолютно бессистемно. Учитывая отсутсвие
>неймспейсов и модулей получаем безумную кашу.
Бессистемность постепенно преодолевается, как я уже говорил - болезнь роста. В 1994-м никто не подозревал, что это будет самый распространённый языг для веб-программирования.
>>>перемешивание логики работы и отображения, не способствующее MVC,
>>На совести программиста, исключительно.
>Ага и большая часть про нее не знает. Причем что интересно большая
>часть фреймвоков для веба используют эту модель и только спецальный язык
>для генерации динамических страниц не умеет это из коробки.
Zend Framework
>>>отсутствие такого полезного высокоуровневого средства как исключения...
>>Вах! а мужики-то не знают! (все, я понял, речь идет о PHP2)
>Ага и для чего и когда оно работает? :)
http://ru.php.net/manual/ru/language.exceptions.php
>>>А использование PHP CLI это вообще из ряда вон выходящее извращение..."
>>
>>Привести пример использования?
>Забивать гвозди можно и граблями, но это не очень знаете ли удобно.
Зачем гвозди? снятие статистики или скажем заливка прайсов стронних фирм, перегенерация страниц сайта кроном.
>С перегрузкой вопрос уж с год как решён.
В том виде в котором он решен это бред-с.>Насчёт деструкторов/конструкторов - "PHP
>был и остаётся процедурным языком" (c) Лендорф, по поводу выхода PHP5
Тогда нафига добавлять ООП ?>Э... а mod_php5 отменили? с какого числа?
А что оно дает? Скрипты что начинают работать в режиме FastCGI?>Отсутствие типизации - это не всегда зло.
На мелких проектах да. На больших зло. Да и на маленьких опечатку искать можно долго. И что примерчательно ведь будет работать.>да, тут я несколько зарвался, но и пакеты и неймспейсы вобщем достижимы
>(foo::method - такие конструкции для организации пронстранства имён доступны)
Маловато будет.>Бессистемность постепенно преодолевается, как я уже говорил - болезнь роста. В 1994-м
>никто не подозревал, что это будет самый распространённый языг для веб-программирования.
Интересно почему ни у Java ни у Python нету болезни роста?>Zend Framework
Я говорю про коробку, а не сторонние средства. Сторонними средствами вон в языках общего назначения делается и получше чем у PHP без фреймворка.>http://ru.php.net/manual/ru/language.exceptions.php
Абсолютно бесполезная штука. Так будет поддерживаться моими классами. А выше вы приводили замечательную цитату о том что PHP был и остается процедурным языком.>Зачем гвозди? снятие статистики или скажем заливка прайсов стронних фирм, перегенерация страниц
>сайта кроном.
Для этого существуют более эффективные и что самое главное уже стоящие решения. К примеру perl или python.Да еще подскажите почему нативная реализация mod_php проигрвает реализации на java аж в два раза?
>>>Это разве плохо? да, заточен под веб.
>>Еще как плохо. Особенно учитывая что модель CGI не FastCGI, а именно
>>CGI. Посмотрите как работает JSP/Servlets к примеру.
>Э... а mod_php5 отменили? с какого числа?э... а другие web серверы отменили? с какого числа?
И не надоело вам еще слюной брюзжать... ну пишите на perl/python и т.п., пишите, вам что php не даёт писать чтоль на любимом языке? :-))
Тут как: все юзают пых, но я профи в перле/питоне. Поскольку таких, как я, единицы, а всем остальным я не нужен, то платную поддержку кому-либо впарить не смогу. Итог: я говорю: "Всем юзать перл/питон! И точка!".
>Тут как: все юзают пых, но я профи в перле/питоне. Поскольку таких,
>как я, единицы, а всем остальным я не нужен, то платную
>поддержку кому-либо впарить не смогу.Интересно выходит - на пхп люди пишут и продают, а программист на перле/питоне сидит и стонет. Сделай что-то полезное на перле или питоне и получишь платную поддержку.
кому надо и на Haskell'e сайты строят =) так что была бы цель и желание, а средство найти всегда можно
Уста младенца глаголят истину:)
Только на сендмыло не надо гнать а?
И на пхп тоже. :)
кажется тут глюков добавили больше чем исправили.. начал падать чаще апач по сигналу 11, некоторые пользователи заявили что скрипты стали работать не корректно
откатился обратно на 4.4.4
плюс под пхп есть "компилятор", хоть и платный
а на перлах делать бизнес приложение распространяемое...c++, остальное в топку! (не давно осенившая мысля)
>плюс под пхп есть "компилятор", хоть и платный
>а на перлах делать бизнес приложение распространяемое...
>
Делаю. Ну и что? Так все заказчики и полезут несколько метров исходников ковырять... В веб-интерфейсе у админа есть кнопочки "Архивировать код" и "Архивировать базу данных". Платят за лицензии и поддержку и вовсе не стремятся сблизиться с программированием на перле или чем-то еще.
>плюс под пхп есть "компилятор", хоть и платный
>а на перлах делать бизнес приложение распространяемое...
>
>c++, остальное в топку! (не давно осенившая мысля)perlcc тоже отменили? В любой ос вроде есть..
К чему же этот спор? ах да! Перлушка хаит Пехапа за то что хаит тот Перлушку?Невольно вспоминатеся шутошная статейка в стиле "Интерьвю с Бьерном Страуструппом" Так вот после вопроса, что же наконец вы думаете, многоуважаемый мистер Страуструп по поводу ООП в Си, милый гость ответил: в начале был Си и мало толковых програмисстов! Потом благодаря университетам и содействию АйБиЭм появилось много хорших программистов в области Си и их зарплата упала. После изобретения ООП в Си (читать Си с крестами)с его непонятно откуда вызывающимися функциями, постоянными переопрелделениями типов данных при помощи макросов снова стало мало хорших програмистов и в общем зарплата повысилась снова. Вывод? Ребяты, мерин он конечно лучше бимера (или наоборот, я уже не помню) но у каждого есть свой сегмент и каждый в своем сегменте красавец! Посему лучше напишите как строить безопасные веб и не только приложения на перлах пэшках и всяких там джабах и давайте зарабатывать больше денег, любить красоту и и бла бла бла и все такое спасибо!
Вобщем обновил на своей freebsd 6.1 этот недоязык с 4.4.4 на 4.4.5, что удивительно вроде релиз, а такое впечатление что тестили его только на echo Helo World
эта какашка на session_register() уводит апача в откладывание корки без слов. Оно конечно буг, и конечно признанный и даже уже в cvs пофикшенный, но отношение разработчегов к так сказать продукту просто на уровне глубоко похеристическом. Им то пох что у тебя хостинг, и что куча cms с этими session_register() отправляют апача в segmentation fault. повбыбав бы мля, до двух часов ночи не спал сцуко.
Перешел бы на 5ку но есть любители smarty тоже тот еще глюкодром