PHP 5.2.8 beseitigt Sicherheits-Problem

Die einzige Neuerung, die Version 5.2.8 gegenüber der zurückgezogenen Version 5.2.7 bringt, ist die Korrektur eines Fehler in Zusammenhang mit dem Magic Quotes (magic_quotes_gpc). Diese wurden in PHP 5.2.7 als aktiviert angezeigt, selbst wenn sie abgeschaltet waren, was ein ernstes Sicherheitsproblem bedeutet, weil dadurch potenziell gefährliche Benutzereingaben nicht durch zusätzliche Backslashes entschärft werden.

Anwender, die bereits PHP 5.2.7 installiert haben, sollten auf 5.2.8 wechseln. Wer das nicht möchte und erstmal abwarten will, ob nicht auch in PHP 5.2.8 ein schwerer Fehler steckt, kann sich mit einem Workaround behelfen und filter.default_flags=0 in der Konfigurationsdatei php.ini eintragen beziehungsweise derart umstellen.

Von dem Fehler mit den Magic Quotes einmal abgesehen beinhaltet PHP 5.2.7 (und damit auch PHP 5.2.8) ein Reihe von Sicherheitskorrekturen und Bugfixes, die ein Update nahe legen. So wurden die Perl Compatible Regular Expressions auf Version 7.8 aktualisiert, eine falsche "php_value order" für die Konfiguration des Apache-Webservers behoben und mehrere Absturzursachen beseitigt, um nur einige Beispiele zu nennen.

Den Download von PHP 5.2.8 finden Sie hier auf der Entwicklerseite. Linux-Anwender bekommen in der Regel die neue Version mit einiger Verzögerung über ihre Paketverwaltung angeboten. Diese zeitliche Verzögerung muss keinesfalls ein Nachteil sein, wie die Probleme mit PHP 5.2.7 beweisen. Mit dem Update einige Tage abzuwarten ist oftmals sinnvoll um zu vermeiden, dass man sich mit dem Update bis dato unbekannte Probleme einhandelt.