PHP raadt webontwikkelaars af versie 5.2.7 te gebruiken. De versie bevat een bug in de magic quote-functie. Inmiddels is versie 5.2.8 vervroegd uitgebracht.
De ontwikkelaars van de scripttaal PHP hebben versie 5.2.7 uit roulatie gehaald. De versie blijkt een ernstige bug te bevatten. Inmiddels is versie 5.2.8 geïntroduceerd.
Versie 5.2.7 werd op 4 december vrijgegeven. Drie dagen later werd de versie teruggetrokken. De ontwikkelaars schrijven op de website: "De bug heeft betrekking op systemen waar magic_quote_gpc is ingeschakeld, omdat het uit blijft staan, zelfs als het ingeschakeld is."
SQL-injectie
Volgens Tweakers.net wordt een systeem vatbaar voor een sql-injectie als magic_quotes_gpc is uitgeschakeld. Een programmeur moet dan aanvullende beveiligingsmaatregelen treffen. De functie voorziet variabelen automatisch van escape-tekens (/), zodat kwaadwillenden invoervelden op websites niet kunnen misbruiken om code uit te voeren.
De ontwikkelaars van PHP vinden het gebruik van de magic quote-functie niet altijd verstandig. In PHP 6.0 zal de functie niet meer standaard zijn ingebakken. "Vertrouwen op deze functie wordt sterk afgeraden", aldus de ontwikkelaars.
[quote]De ontwikkelaars van PHP vinden het gebruik van de magic quote-functie niet altijd verstandig. In PHP 6.0 zal de functie niet meer standaard zijn ingebakken. “Vertrouwen op deze functie wordt sterk afgeraden”, aldus de ontwikkelaars.[/quote]
Mee eens, je kunt die instelling namelijk niet altijd wijzigen. Dus als je je site verplaast van een host die dat aan heeft staan, naar een die dat uit heeft staan, is dat een mogelijk lek.
[quote]De functie voorziet variabelen automatisch van escape-tekens (/)[/quote]
Eeh, het escape-teken is altijd nog een 🙂