Вышедший (http://www.opennet.ru/opennews/art.shtml?num=19246) в пятницу релиз PHP 5.2.7 убран (http://www.php.net/archive/2008.php#id2008-12-07-1) с серверов и зеркал проекта. Всем кто успел установить PHP 5.2.7 рекомендуется вернуться к использованию PHP 5.2.6, дождаться следующего релиза, установить патч (http://cvs.php.net/viewvc.cgi/php-src/ext/filter/filter.c?r1...) или добавить в php.ini параметр "filter.default_flags=0".

Решение об отмене релиза вызвано появлением ошибки (http://bugs.php.net/bug.php?id=46759&edit=1) в ext/filter, проявляющейся в полном прекращении экранирования спецсимволов при активной опции magic_quotes_gpc. Несмотря на то, что опция magic_quotes_gpc объявлена устаревшей, она по прежнему используется во многих приложениях для экранирования пользовательского ввода, неработоспособность данной подсистемы может привести, например, к возможности подстановки SQL запросов.

URL: http://www.php.net/archive/2008.php#id2008-12-07-1
Новость: http://www.opennet.ru/opennews/art.shtml?num=19282

• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,iZEN, 16:44 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 17:01 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Pilat, 17:10 , 08-Дек-08
      • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Явер, 17:33 , 08-Дек-08
        • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Pilat, 00:12 , 09-Дек-08
          • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,ноним, 08:54 , 09-Дек-08
            • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Pilat, 14:00 , 09-Дек-08
              • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,anonymous, 15:00 , 09-Дек-08
                • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Pilat, 16:04 , 09-Дек-08
                • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,ноним, 19:23 , 09-Дек-08
          • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,terr0rist, 19:19 , 09-Дек-08
      • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 17:54 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Boh, 17:14 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,bsd, 17:48 , 08-Дек-08
      • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Щекн Итрч, 18:51 , 08-Дек-08
      • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,gx, 01:01 , 09-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,iZEN, 18:30 , 08-Дек-08
      • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Brick, 21:06 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,ноним, 21:46 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Frank, 07:48 , 09-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Coder, 09:15 , 09-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 13:56 , 09-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,AmdY, 19:57 , 17-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,терроген, 19:24 , 07-Дек-14
• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,hate, 19:15 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,999, 19:40 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,TyLLIKAH, 19:51 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,piglet, 20:25 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 23:12 , 08-Дек-08
• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 19:43 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,trdm, 22:51 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Оммм, 23:01 , 08-Дек-08
• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 23:09 , 08-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 23:25 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 23:40 , 08-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,тигар, 08:14 , 09-Дек-08
      • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Щекн Итрч, 15:34 , 09-Дек-08
        • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 16:44 , 09-Дек-08
        • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,anonymous, 20:20 , 09-Дек-08
• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 23:18 , 08-Дек-08
• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 04:45 , 09-Дек-08
• Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,anonymous_coward, 14:10 , 09-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Непатриот, 14:17 , 09-Дек-08
  • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,Аноним, 16:30 , 09-Дек-08
    • Релиз PHP 5.2.7 отменен из-за наличия критической уязвимости,ABC, 17:32 , 09-Дек-08
• РНР sux,terr0rist, 19:15 , 09-Дек-08
  • РНР sux,Keeper, 19:41 , 09-Дек-08
    • РНР sux,terr0rist, 02:00 , 10-Дек-08
      • РНР sux,Keeper, 09:28 , 10-Дек-08
  • РНР sux,thevery, 19:12 , 10-Дек-08
    • РНР sux,Мент, 10:05 , 12-Дек-08

Дыра-дырой.

Похоже, PHP'шникам скоро придётся переквалифицироваться — давно пора осваивать JSP и фреймворк JSF.

Слышали мы такое и год назад, и два, и три... до встречи в следующем году, умник :)

>Слышали мы такое и год назад, и два, и три... до встречи
>в следующем году, умник :)

Анонимы могут и в следующем году, а у меня переход на яву уже в расписании.

советую посмотреть http://grails.org/

>советую посмотреть http://grails.org/

ну groovy или ещё что, а на яву или .net переходить жизненно необходимо. Просто это другой уровень.

Понты это и снобизм.
То что делали за 5 минут будут делать за 5 дней.
Зато интерпрайс. Зато больше платят.
Кому жизненно надо - добро пожаловать.

>Понты это и снобизм.
>То что делали за 5 минут будут делать за 5 дней.
>Зато интерпрайс. Зато больше платят.
>Кому жизненно надо - добро пожаловать.

Сайты, которые за 5 минут, уже неинтересны. Интересны сайты на 15 лет поддержки, а PHP тут несколько ненадёжен.

Бгг, а вам не кажется, что сайты 15-летней выдержки сродни технологиям Web 1.0 в наш прогрессивный XXI век?

>Бгг, а вам не кажется, что сайты 15-летней выдержки сродни технологиям Web
>1.0 в наш прогрессивный XXI век?

anonymous, мне не кажется.

для них важно не выдержки, а поддержки. :-)
гарантированный доход... да в условиях кризиса то.

кстати! а сколько лет opennet'у?
по-любому на jsp и .net одновременно! :-D

PHP уже достал, это legacy инструмент для домохозяек.
Java - для простых сайтов это слишком громоздко и сложно в разработке и установке.
Ищу команду желающих и способных создать серверный Javascript как замену РНР. (Rhino не считается =))
Часть кода можно взять из мозилы по БСД лицензии.

пишите terr0rist [at] mail [dot] ru :)

Ну не надо по своей школе судить об остальных :)

Как раз JSP, а тем более JSF - самое худшее, что есть в j2ee.

капец я только вчера установил

>капец я только вчера установил

5.2.8 в портах

# make quicksearch name="php5-5"

>Как раз JSP, а тем более JSF - самое худшее, что есть в j2ee.

Гон.

JSP -- это базовая технология активных Web-страниц в Java, front-end для энтерпрайзного и сама по себе (без привязки к J2EE) хороша при использовании фреймворков (Struts, JSF). Вокруг неё почти все проекты Apache Software Foundation построены.

>>Как раз JSP, а тем более JSF - самое худшее, что есть в j2ee.
>
>Гон.
>
>JSP -- это базовая технология активных Web-страниц в Java, front-end для энтерпрайзного
>и сама по себе (без привязки к J2EE) хороша при использовании
>фреймворков (Struts, JSF). Вокруг неё почти все проекты Apache Software Foundation
>построены.

Насчёт JSP ещё соглашусь, хотя многие предпочитают другие темплейтные фреймворки.
А вот по поводу JSF позволю себе не согласиться, бытует мнение, что это Сановская ошибка. По себе знаю: он жутко тормозит + неожиданно вылазят кучу непонятных косяков.

>Похоже, PHP'шникам скоро придётся переквалифицироваться — давно пора осваивать JSP и фреймворк JSF.

Тогда уж на .net и asp.
Но сдаётся, что современным сановцам это и надо.

Посмотри в соседнем разделе - дырки в яве по частоте появлений соперничают с дырками в пыхпыхе :)
Ну и самое главное - самые опасные дырки в головах разработчиков, а не в средствах разработки.

Не дождешься

Лушче не на JSP, а Django или Zope 3...
Хотя... насмотрелся я уже на этих перебежчиков. Пишут свой PHP на чем угодно.

>Дыра-дырой.
>
>Похоже, PHP'шникам скоро придётся переквалифицироваться — давно пора осваивать JSP и фреймворк
>JSF.

мой код даже не заметил этого "бага", функцию уже год-другой пора было выбросить, оставляли в угоду говнокодерам.
если бы jsp был эффективнее php использовали бы его, а так php с каждым годом набирает поклонников. хорошие программисты уже попробовали и java, и .net, и python, и ruby. А возмущаются в основном те, кто сам ничерта не может осилить.
зачем есть суп вилкой, если есть ложка.

> Дыра-дырой.
> Похоже, PHP'шникам скоро придётся переквалифицироваться — давно пора осваивать
> JSP и фреймворк JSF.

давно уже освоили, запустил сборку, иди кури, кайф, не то что раньше F5 нажал, и опять давай работай. Да и деньги нормальные, две странички в мес. выдал, как за 100 пхпшных получил. Глаыное - это делать умный вид, ынтерпрайз же.

Для FreeBSD в порты зашла уже патченая версия.

А бздишники всегда умнее всех, что не может не радовать. ;)

Откуда вы такое вычитали ? Дайте ссылку, а то я всю валерьянку уже извёл

>Откуда вы такое вычитали ? Дайте ссылку, а то я всю валерьянку
>уже извёл

Опытным путем определяется. У меня оно уже проапгрейдилось.

http://www.freshports.org/lang/php5/

Задрали. Как хорошо, что у меня просто руки недотянулись обновиться

>Задрали. Как хорошо, что у меня просто руки недотянулись обновиться

а куда спешить? есть принцыП: работает не трогай :)

Именно благодоря такому принцЫпу, на черном рынке, руты стоят в пределах $15-$20

заддосить стоит немногим больше :)
а против ддоса как известно нет приёма :)

>заддосить стоит немногим больше :)
>а против ддоса как известно нет приёма :)

есть прием, юзать "прямой" firewall

>>заддосить стоит немногим больше :)
>>а против ддоса как известно нет приёма :)
>
>есть прием, юзать "прямой" firewall

дык эта, можно вообще шнурог из сервака выдернуть, толку то?
Ну ка расскажите как правильный фиревол спасёт при ддосе с ботнета? :) литофские серваки тут полрунета помниццо ложило

>>заддосить стоит немногим больше :)
>>а против ддоса как известно нет приёма :)
>
>есть прием, юзать "прямой" firewall

ой. а не поделится ли господин ананимус рецептом "прямой" фаервол?

>>>заддосить стоит немногим больше :)
>>>а против ддоса как известно нет приёма :)
>>
>>есть прием, юзать "прямой" firewall
>
>ой. а не поделится ли господин ананимус рецептом "?

Не знаю, что такое "прямой фаервол", но ДДОС борется левой ногой за 15 минут.
10000 бутылок пива и мой опыт к вашим услугам.

уговорили, давайте адрес вашего веб сервачка, проверим как вы владеете даром настройки фаервола левой ногой за 15 минут, думаю 400 тыщ GET запросов/сек с 20 тыщ адресов для вас хаватит. Люди гарантированно ддосят web сервера за бабло.

>Не знаю, что такое "прямой фаервол", но ДДОС борется левой ногой за
>15 минут.
>10000 бутылок пива и мой опыт к вашим услугам.

Боюсь, что 10000 бутылок вы не сможете обменять даже на циску, способную выдержать такой packet rate. Не говоря уж о покупке фильтра к ней.

Нифига не пойму, в портах лежит свеженький 5.2.8

выпустили 5.2.8

Предупреждали же вас - не забывайте Perl!
Доигрались...

+1

Меньше популярность => меньше найденный багов. Закон. И не важно, что перл старше свого младшего коллеги.

>И не важно, что перл старше свого младшего коллеги.

Хо-хо! Ещё как важно. Больше стаж использования => меньше вероятность обнаружения новых багов. Закон.

Как уже достало это РНР, которое кто-то именует языком программирования. Что за язык программирования, где поведение базовых компонентов и функций определяется установленным на сервере файлом php.ini, где нет нормальных инициализаторов массивов, объектов и тд, это ж надо додуматься - создавать новый объект
> $a = new stdclass;

или
> $a = (object)array( "asd" => "zxc" );

Ну куда еще тупее!
РНР - это язык для домохозяек, исходя и из его названия personal home pages, и из идеологии (всякие идиотские фичи типа глобальных-неглобальных переменных, magic_quotes и тд)

А как относиться к дурацким знакам доллара перед переменными, которые в Perl имеют значение, в РНР - абсолютно бессмысленны?

Не говоря уже о том, что WEB-программисту приходится изучать эту несчастную поделку, меняющуюся каждый год на 180 градусов, в то время как есть отличный отработанный настоящий язык программирования = JavaScript.

Имхо JavaScript - самый лучший скриптовый язык для WEB!
Java, конечно, рулит, но для простых сайтов нужно более простое решение, которое бы включало в себя те плюсы, которые есть и у РНР, и у JavaScript, и при этом было бы свободно от идиотизма legacy PHP.

Ищу команду людей, желающих и способных создать кросс-платформенный Javascript-интерпретатор как модуль Apache и как инструмент командной строки.

пишите на terr0rist [at] mail [dot] ru

Давайте дадим миру настоящий профессиональный удобный для WEB-разработчика скриптовый язык!

>Ищу команду людей, желающих и способных создать кросс-платформенный Javascript-интерпретатор как модуль Apache
>и как инструмент командной строки.

Как насчет Lua и mod_lua?

Всё это гуд, но велосипед уже изобретен 1000 раз. Есть и питон, и парсер, и чего только нет. Но зачем? Зачем веб-разработчику знать 12341535 нигде не используемых языков программирования (ЯП),- только чтобы быть крутым? Зачем писать всякие extension'ы для JSON, когда при использовании JS у клиента и на сервере ничего не надо было бы писать? Про JS все забывают, когда говорят о распространенности ЯП. Однако я уверен, что в WEB JS - самый распространенный ЯП. Дописать код по работе с файлами, функцию sprintf() - и вперед :)

Язык только тогда получит распространение, если для него будет значительное количество библиотек, реализующую нужную для разработчиков функциональность. Допустим, что вся нужная функциональность уже реализована в библиотеках для языков C/C++. Интерфейсы для вашего серверного JS на эту кучу сишных библиотек вы тоже сами будете писать?

Оценить предполагаемый объем работы можно тут:
http://www.php.net/manual/en/funcref.php
http://pear.php.net/packages.php
http://www.cpan.org/modules/01modules.index.html

Если вы действительно собираетесь заменить PHP/Perl на стороне сервере, то эти списки будут имхо удачным примером.

>Java, конечно, рулит, но для простых сайтов нужно более простое решение, которое бы включало в себя те плюсы, которые есть и у РНР, и у JavaScript, и при этом было бы свободно от идиотизма legacy PHP.

"всё украдено до нас"
см. groovy+grails

>>Java, конечно, рулит, но для простых сайтов нужно более простое решение, которое бы включало в себя те плюсы, которые есть и у РНР, и у JavaScript, и при этом было бы свободно от идиотизма legacy PHP.
>
>"всё украдено до нас"
>см. groovy+grails

Да количество идей спертых из перла можно назвать сотнями...