前陣子就看到 Multiple vulnerabilities within PHP 4/5 這則 security advisory , 然後馬上開工, 把手上幾台 Apache + PHP 通通升級一下.
結果我這兩天才發現.
升級以後, 一堆 PHP 的系統爛光光 .
trace 過以後發現這點 :
之前的 PHP 會把 $username 這種變數吃成以下這三種的任何一種:
$_GET["username"] // 用 FORM 的 GET 來傳, 或用 xxx.php?username=xxx 來傳 $_POST["username"] // 用 FORM 的 POST 來傳 $_COOKIE["username"] // 會吃 Cookie 的 username
PHP 4.3.10 就要求要強制指定了.
而我手上有三套自己寫的 PHP 系統, 要開始大修了.