Joe Horn 的啟示錄

PHP 4.3.10

前陣子就看到 Multiple vulnerabilities within PHP 4/5 這則 security advisory , 然後馬上開工, 把手上幾台 Apache + PHP 通通升級一下.

結果我這兩天才發現.
升級以後, 一堆 PHP 的系統爛光光 .

trace 過以後發現這點 :

之前的 PHP 會把 $username 這種變數吃成以下這三種的任何一種:

 $_GET["username"]    // 用 FORM 的 GET 來傳, 或用 xxx.php?username=xxx 來傳
 $_POST["username"]   // 用 FORM 的 POST 來傳
 $_COOKIE["username"] // 會吃 Cookie 的 username

PHP 4.3.10 就要求要強制指定了.
而我手上有三套自己寫的 PHP 系統, 要開始大修了.

Exit mobile version