PHP 5.2.11版本修复多个安全漏洞
受影响系统:
PHP PHP 5.2.x
不受影响系统:
PHP PHP 5.2.11
描述:
BUGTRAQ ID: 36449
CVE ID: CVE-2009-3291,CVE-2009-3292,CVE-2009-3293,CVE-2009-3294
PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。
PHP的5.2.11之前版本的多个函数中存在安全漏洞,可能允许远程攻击者导致拒绝服务或完全入侵用户系统。
1) PHP的php_openssl_apply_verification_policy函数没有正确的执行证书验证,可能允许攻击者通过伪造的证书执行欺骗攻击。
2) imagecolortransparent函数没有正确的对颜色索引执行过滤检查。
3) 当运行在某些Windows操作系统上时,TSRM/tsrm_win32.c文件中的popen API函数允许攻击者通过第二个参数中的特制e或er字符串导致拒绝服务。
<*来源:Ryan Sleevi
链接:http://secunia.com/advisories/36791
http://bugs.php.net/bug.php?id=44683
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<?php
$t1 = popen("echo hello", "e");
pclose($t1);
$t2 = popen("echo hello", "re");
pclose($t2);
$t3 = popen("echo hello", "er");
pclose($t3);
?>
相关文档:
--------------
安装pear
--------------
pear是PHP的扩展和应用程序库,包含了很多有用的类,安装好php5.0后,pear实际上并没有被安装,安装的方法如下:
1.在php目录中双击go-pear.bat。
2.按照提示输入一些设置信息, ......
一、 变量命名
a) 所有字母都使用小写
b) 首字母根据变量值类型指定
i. 整数i
ii. 浮点数f
iii. 字符串s
iv. 布尔值b
v. 数组a
vi. 对象o
vii. 资源r
viii. 混合类型m
c) 使用’_’作为每一个词的分界
例如:
$i_age_max = 10;
$f_price = 22.5;
$s_name =‘harry’;
$b_flag = true;
......
PHPer
为什么被认为是草根?
—— 一个值得PHPer思考的问题
开篇注释:以下文字并没有非常多的技术词汇,所以只要对
PHP
感兴趣的人都可以看看。
PHPe ......
php配置太复杂了,昨天晚上配置了半天还没有成功!不得不寻求更简单的解决方法:WampServer 5 集成环境
Wamp5是Apache+PHP+Mysql 在Windows下的集成环境,拥有简单的图形和
菜单安装。该版本集成了PHP5.2.5 Mysql5 Apache2 phpMyAdmin 2.11.2.1
SQLiteManager 1.2.0 满了大部分PHPer的需求.
从语法上看,PHP语言近似于C语 ......
