[2007 年 11 月 9 日]

PHP 开发团队宣布立即 发布 PHP 5.2.5。此版本侧重于提高 PHP 5.2.x 分支的稳定性，包含 60 多个错误修复，其中一些与安全相关。鼓励所有 PHP 用户升级到此版本。

有关 PHP 5.2.5 版本的更多详细信息，请参阅 5.2.5 版本公告，完整的更改列表可在 PHP 5 的更改日志 中找到。

PHP 5.2.5 中的安全增强和修复

• 修复了 dl() 仅接受文件名的问题。由 Laurent Gaffie 报告。
• 修复了 dl() 将参数大小限制为 MAXPATHLEN 的问题 (CVE-2007-4887)。由 Laurent Gaffie 报告。
• 修复了 htmlentities/htmlspecialchars 不接受部分多字节序列的问题。由 Rasmus Lerdorf 报告
• 修复了在 glibc 实现的 fnmatch()、setlocale() 和 glob() 函数中可能触发的缓冲区溢出。由 Laurent Gaffie 报告。
• 修复了 "mail.force_extra_parameters" php.ini 指令由于安全隐患无法在 .htaccess 中修改的问题。由 SecurityReason 报告。
• 修复了 bug #42869（自动会话 ID 插入将会话 ID 添加到非本地表单）。
• 修复了 bug #41561（使用 php_admin_* 在 httpd.conf 中设置的值可以用 ini_set() 覆盖）。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，此处 提供了升级指南，详细说明了这些版本与 PHP 5.2.5 之间的更改。

[2007 年 10 月 29 日]

11 月 30 日 - 12 月 1 日，加入我们参加第二届年度 PHP 巴西大会。活动将在圣保罗奥萨斯科的 UNIFIEO 举行。今年的大会将容纳 1000 人。它将安排为期 3 小时的教程，以及演讲、案例、展位和新老用户交流的宝贵时间。访问 网站 以获取更多详细信息。早鸟注册享受折扣价，截止日期为 11 月 9 日。

[2007 年 10 月 3 日]

PHP 文档团队很高兴地宣布发布用于生成 PHP 手册的新构建系统的初始版本。PhD（[PH]P based [D]ocBook renderer）是用 PHP 编写的，现在可以在 docs.php.net 上查看。鼓励大家测试和使用此系统，以便发现并解决 错误。

新构建系统稳定后，预计 PHP 手册将进行更多更改，包括改进的导航系统和 OOP 文档的样式。

您可以通过使用 my.php 将此开发镜像设置为您的默认镜像。

[2007 年 9 月 21 日]

11 月 7 日 - 9 日，加入我们参加第二届年度华盛顿特区 PHP 大会。活动将在乔治华盛顿大学位于华盛顿特区中心的 Cafritz 会议中心举行。为期三天的大会从 11 月 7 日和 8 日的常规会议开始，于 11 月 9 日的教程结束。今年的大会将接待 PHP 社区中一些顶尖的演讲者和开发人员，重点关注三个主要轨道

• 可扩展性
• 安全
• PHP 的艺术

请参阅 网站 以获取更多详细信息并注册。早鸟注册截止日期为 10 月中旬。

[2007 年 9 月 20 日]

法国 AFUP 协会自豪地宣布将在 2007 年 11 月 21 日和 22 日在巴黎举行 第六届年度 PHP 会议。开发人员和经理将齐聚一堂，与 Rasmus Lerdorf、Andrei Zmievski 和其他知名的社区专家会面，参加为期两天的会议，内容涵盖企业解决方案和高级技术。

[2007 年 8 月 30 日]

PHP 开发团队宣布立即 发布 PHP 5.2.4。此版本侧重于提高 PHP 5.2.X 分支的稳定性，修复了 120 多个各种错误，并解决了几个低优先级的安全漏洞。鼓励所有 PHP 用户升级到此版本。

有关 PHP 5.2.4 版本的更多详细信息，请参阅 5.2.4 版本公告，完整的更改列表可在 PHP 5 的更改日志 中找到。

PHP 5.2.4 中的安全增强和修复

• 修复了 wordwrap() 中的浮点异常 (由 Mattias Bengtsson 报告)
• 修复了 GD 扩展中几个整数溢出 (由 Mattias Bengtsson 报告)
• 修复了 chunk_split() 中的大小计算 (由 Gerhard Wagner 报告)
• 修复了 str[c]spn() 中的整数溢出。 (由 Mattias Bengtsson 报告)
• 修复了 money_format() 不接受多个 %i 或 %n 令牌的问题。 (由 Stanislav Malyshev 报告)
• 修复了 zend_alter_ini_entry() memory_limit 中断漏洞。 (由 Stefan Esser 报告)
• 修复了当 open_basedir 或 safe_mode 处于活动状态时，MySQL 扩展不会允许 INFILE LOCAL 选项处理。 (由 Mattias Bengtsson 报告)
• 修复了 session.save_path 和 error_log 值以针对 open_basedir 和 safe_mode 进行检查 (CVE-2007-3378) (由 Maksymilian Arciemowicz 报告)
• 修复了 glob() win32 实现中可能发生的无效读取 (CVE-2007-3806) (由 shinnai 报告)
• 修复了 php_openssl_make_REQ 中可能发生的缓冲区溢出 (由 hotbrev dot com 上的 zatanzlatan 报告)
• 修复了 glob() 函数中绕过 open_basedir 的问题 (由 peytz dot dk 上的 dr 报告)
• 修复了当会话文件是符号链接时，会话扩展中绕过 open_basedir 的问题 (由 durham dot ac dot uk 上的 c dot i dot morris 报告)
• 改进了对 MOPB-03-2007 的修复。
• 更正了对 CVE-2007-2872 的修复。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，此处 提供了升级指南，详细说明了这些版本与 PHP 5.2.4 之间的更改。

[2007 年 7 月 25 日]

不要错过第三届年度 Zend/PHP 大会和博览会 2007！今年的大会承诺将是有史以来最棒的。加入 Zend、PHP 社区和来自世界各地的领先科技公司，参加为期三天的教育、学习和社交活动 - 以及额外的一天的教程。2007 年的大会将包括 40 多个会议，一个由 Adobe、IBM、PayPal 和 Zend 等领先公司组成的展厅，一个刺激即兴讨论的非正式会议区，以及丰富的社交机会。

ZendCon2007 将为每个人提供一些东西 - 从新手到高级，从以业务为导向到以技术为导向。您将听到来自 PHP 社区的领导者和已实施基于 PHP 的计划的商业专家的发言。来听听 Zend 如何介绍面向业务的 PHP 的路线图。与 Zend 开发团队见面。了解有关 Zend 开源项目的更多信息。

ZendCon 2007 有望成为规模最大的 PHP 专注聚会。计划参加 ZendCon 2007，加入 PHP 社区，与来自世界各地的优秀 PHP 人才建立联系并向他们学习。

有关更多信息，请访问 http://www.zendcon.com/。

[2007 年 7 月 16 日]

php|architect 很高兴地宣布 php|works 2007，该活动将于 2007 年 9 月 12 日至 14 日在美国佐治亚州亚特兰大举行。

今年，大会再次承诺成为所有级别 PHP 开发人员的精彩活动，来自顶尖 PHP 专家的演讲，如 Derick Rethans、Chris Shiflett、Andrei Zmievski、Sara Golemon，以及更多（还有很多新面孔）。

[2007 年 7 月 13 日]

今天恰好是 PHP 5 发布三周年纪念日。在这三年里，它比 PHP 4 有了很多改进。PHP 5 速度快、稳定且已投入生产，随着 PHP 6 的到来，PHP 4 将停止使用。

PHP 开发团队在此宣布，对 PHP 4 的支持将仅持续到今年年底。2007 年 12 月 31 日之后，将不再发布 PHP 4.4。我们将继续根据情况提供关键的安全修复，直到 2008 年 8 月 8 日。请利用今年剩下的时间使您的应用程序适合在 PHP 5 上运行。

有关从 PHP 4 迁移到 PHP 5 的文档，我们想向您推荐我们的 迁移指南。PHP 5.0 到 PHP 5.1 和 PHP 5.1 到 PHP 5.2 迁移指南中也提供了其他信息。

[2007 年 6 月 1 日]

PHP 开发团队宣布立即 发布 PHP 5.2.3。此版本继续提高 5.X 分支的安全性和稳定性，并解决了先前 5.2 版本引入的两个回归问题。这些回归问题与通过非阻塞 SSL 连接进行超时处理以及在某些条件下缺少 HTTP_RAW_POST_DATA 有关。鼓励所有用户升级到此版本。

有关 PHP 5.2.3 版本的更多详细信息，请参见 5.2.3 版本公告，完整变更列表可在 PHP 5 的变更日志 中找到。

PHP 5.2.3 中的安全增强和修复

• 修复了 chunk_split() 中的整数溢出问题（由 Gerhard Wagner 发现，CVE-2007-2872）
• 修复了 imagecreatefrompng 中可能的无限循环问题（由 Xavier Roche 发现，CVE-2007-2756）
• 修复了 ext/filter 邮件验证漏洞（MOPB-45，由 Stefan Esser 发现，CVE-2007-1900）
• 修复了 bug #41492（open_basedir/safe_mode 在 realpath() 中的绕过）（由 bugs dot php dot net at chsc dot dk 发现）
• 改进了 CVE-2007-1887 的修复，使其适用于未捆绑的 sqlite2 库。
• 添加了 mysql_set_charset()，以允许在运行时更改连接编码。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可以参考 这里 的升级指南，详细说明了这些版本与 PHP 5.2.3 之间的差异。

[2007 年 5 月 19 日]

第四届 互联网技术大会 将于 6 月 29 日至 30 日在保加利亚瓦尔纳市的海滨举行，您可以在那里享受阳光、海滩和科技的结合。

与前三年一样，这次会议将重点关注 Web 编程、开源以及 IT 领域的所有新技术。

此次会议免费参加。

[2007 年 5 月 3 日]

PHP 开发团队欣然宣布立即 发布 PHP 5.2.2 和 发布 PHP 4.4.7。这些版本是 5.x 和 4.4.x 分支的主要稳定性和安全增强，强烈建议所有用户尽快升级到该版本。有关 PHP 5.2.2 版本的更多详细信息，请参见 5.2.2 版本公告，完整变更列表可在 PHP 5 的变更日志 中找到。有关 PHP 4.4.7 版本的详细信息，请参见 4.4.7 版本公告，完整变更列表可在 PHP 4 的变更日志 中找到。

PHP 5.2.2 和 PHP 4.4.7 中的安全增强和修复

• 修复了 CVE-2007-1001，GD wbmp 与无效图像大小一起使用（由 Ivan Fratric 发现）
• 修复了 mail() 中的 asciiz 字节截断（MOPB-33，由 Stefan Esser 发现）
• 修复了 mb_parse_str() 中可能导致激活 register_globals 的错误（MOPB-26，由 Stefan Esser 发现）
• 修复了 array_user_key_compare() 中的未分配内存访问/双重释放问题（MOPB-24，由 Stefan Esser 发现）
• 修复了 session_regenerate_id() 中的双重释放问题（MOPB-22，由 Stefan Esser 发现）
• 在 zip:// 和 bzip:// 协议中添加了缺失的 open_basedir 和 safe_mode 检查（MOPB-21，由 Stefan Esser 发现）。
• 修复了 ftp_putcmd() 中的 CRLF 注入问题（由 loveshell[at]Bug.Center.Team 发现）
• 修复了捆绑的 libxmlrpc 库中的远程可触发缓冲区溢出问题（由 Stanislav Malyshev 发现）

仅在 PHP 5.2.2 中的安全增强和修复

• 修复了通过 Subject 和 To 参数对 mail() 函数进行的标头注入问题（MOPB-34，由 Stefan Esser 发现）
• 修复了 unserialize S 类型中的错误长度计算问题（MOPB-29，由 Stefan Esser 发现）
• 修复了 substr_compare 和 substr_count 的信息泄露问题（MOPB-14，由 Stefan Esser 发现）（Stas、Ilia）
• 修复了 make_http_soap_request() 中的远程可触发缓冲区溢出问题（由 Ilia Alshanetsky 发现）
• 修复了 user_filter_factory_create() 中的缓冲区溢出问题（由 Ilia Alshanetsky 发现）
• 修复了 import_request_variables() 中可能的超级全局变量覆盖问题（由 Stefano Di Paola、Stefan Esser 发现）
• 使用 max_input_nesting_level 限制输入变量的嵌套级别，作为 (MOPB-03，由 Stefan Esser 发现) 的修复。

仅在 PHP 4.4.7 中的安全增强和修复

• phpinfo() 中的 XSS 漏洞（MOPB-8，由 Stefan Esser 发现）

虽然上面列出的多数问题是本地性的，但在某些情况下，给定特定的代码路径，它们可以从外部触发。因此，如果您使用的代码利用了已识别出存在漏洞的函数和扩展，我们强烈建议您考虑升级 PHP。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可以参考 这里 的升级指南，详细说明了这些版本与 PHP 5.2.2 之间的差异。

更新：5 月 4 日；由于原始版本附带的 Apache2 模块存在问题，因此更新了 PHP 4.4.7 Windows 版本。

更新：5 月 23 日；意外地将一些修复列入了 PHP 5.2.2 和 4.4.7 中的修复，但实际上只在 PHP 5.2.2 中修复了这些问题。PHP 4 的变更日志没有受到影响。

[2007 年 4 月 14 日]

PHP 团队再次很荣幸能够参加 Google 暑期代码。今年夏天，七名学生将“翻转比特而不是汉堡”

• 在 Michael Wallner 的指导下，Hannes Magnusson 将致力于 LiveDocs，这是一个“用于在 Web 浏览器中即时显示 DocBook XML 文件的工具，无需先构建所有 HTML 目标文件”。这个项目对 PHP 文档团队来说将非常有价值。
• PHP 解释器使用引用计数来跟踪哪些对象不再被引用，因此可以被销毁。当前实现中的一个主要缺陷是它无法检测引用循环，即在循环图结构中相互引用的对象，这些对象本身没有从循环外部引用。在 Derick Rethans 的指导下，David Wang 将实现一种新的引用计数算法来解决这个问题。
• Xdebug 为 PHP 开发人员提供了一系列有用的功能，包括详细的错误信息、代码覆盖率和性能分析支持，以及使用 GDB 和 DBGp 协议进行远程调试的支持。在 Xdebug 创建者 Derick Rethans 的指导下，Adam Harvey 将开发一个跨平台 GUI 应用程序，该应用程序实现 DBGp 协议，并允许在与开发环境无关的方式下使用 Xdebug 调试 PHP 应用程序。
• 在 Lukas Smith 的指导下，Konsta Vesterinen 将致力于对象关系映射器 Doctrine。
• 变异测试或自动错误播种是一种方法，在这种方法中，测试工具对被测试的代码进行一些更改，运行测试，如果测试通过，则显示一条消息，说明它做了哪些更改。这种方法不同于代码覆盖率分析，因为它可以找到由测试运行执行但未实际测试的代码。在 Sebastian Bergmann 的指导下，Mike Lewis 将为 PHPUnit 实现变异测试。
• 在 Helgi Þormar Þorbjörnsson 的指导下，Igor Feghali 将为 MDB2_Schema 添加对外键的支持，这是一个“使用户能够维护独立于 RDBMS 的 XML 格式的模式文件，这些文件可用于创建、更改和删除数据库实体，并将数据插入数据库”的软件包。
• 在 David Coallier 的指导下，Nicolas Bérard-Nault 将为 Jaws 重构内部，Jaws 是一个用于构建动态网站的框架和内容管理系统，用于 PHP 6。

[2007 年 3 月 1 日]

PHP 开发团队欣然宣布立即 发布 PHP 4.4.6。

此版本解决的主要问题是 PHP 4.4.5 中引入的一个崩溃问题。当在启用 register_globals 的情况下使用会话变量时，会发生此问题。

有关 PHP 4.4.6 版本的详细信息，请参见 4.4.6 版本公告，完整变更列表可在 PHP 4 的变更日志 中找到。

[2007 年 2 月 8 日]

PHP 开发团队欣然宣布立即 发布 PHP 5.2.1 和 发布 PHP 4.4.5。这些版本是 5.x 和 4.4.x 分支的主要稳定性和安全增强，强烈建议所有用户尽快升级到该版本。有关 PHP 5.2.1 版本的更多详细信息，请参见 5.2.1 版本公告，完整变更列表可在 PHP 5 的变更日志 中找到。有关 PHP 4.4.5 版本的详细信息，请参见 4.4.5 版本公告，完整变更列表可在 PHP 4 的变更日志 中找到。

PHP 5.2.1 和 PHP 4.4.5 中的安全增强和修复

• 修复了会话扩展中的可能 safe_mode 和 open_basedir 绕过问题。
• 修复了在 64 位系统上使用某些输入字符串时，unserialize() 的滥用问题。
• 修复了会话扩展中的可能溢出和堆栈损坏问题。
• 修复了内部 sapi_header_op() 函数中的下溢问题。
• 修复了 shmop 扩展中的未验证资源销毁问题。
• 修复了 str_replace() 函数中的可能溢出问题。
• 修复了多个代码路径中可能的超级全局变量覆盖问题。
• 修复了 wddx 扩展中的可能信息泄露问题。
• 修复了 64 位系统上 *print() 函数中的可能字符串格式漏洞问题。
• 修复了 ibase_{delete,add,modify}_user() 函数中的可能缓冲区溢出问题。
• 修复了 odbc_result_all() 函数中的字符串格式漏洞问题。

仅在 PHP 5.2.1 中的安全增强和修复

• 防止搜索引擎索引 phpinfo() 页面。
• 修复了 filter 扩展中的一些输入处理错误。
• 修复了某些代码路径中尝试分配负值导致的分配错误。
• 修复了 zip、imap 和 sqlite 扩展中的可能堆栈/缓冲区溢出问题。
• 修复了流过滤器中的多个可能缓冲区溢出问题。
• 内存限制现在默认启用。
• 添加了内部堆保护。
• 扩展了 filter 扩展对 CGI 和 apache2 SAPIs 中 $_SERVER 的支持。

仅在 PHP 4.4.5 中的安全增强和修复

• 修复了 zip 和 imap 扩展中的可能溢出问题。
• 修复了 Windows 上 mail() 函数中的可能缓冲区溢出问题。
• 取消捆绑 ovrimos 扩展。

在大多数情况下，发现并解决的大多数安全漏洞只能被本地用户滥用，不能远程触发。但是，在某些情况下，上面列出的一些问题可以远程触发，或者被共享主机设置中使用 PHP 作为 Apache 模块的恶意本地用户利用。因此，我们强烈建议所有 PHP 用户，无论版本如何，都尽快升级到 5.2.1 或 4.4.5 版本。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可以参考 这里 的升级指南，详细说明了这些版本与 PHP 5.2.1 之间的差异。

更新：2 月 14 日；添加了 PHP 4.4.5 的发布信息。

更新：2 月 12 日；Windows 安装包在从以前的 PHP 版本升级时存在问题。现在已修复此问题，并在 下载部分 中发布了新文件。

[2007 年 2 月 8 日]

php.net 首页上的新闻已更改，会议公告 现在位于自己的页面上。目的是使 php.net 特定的新闻保持清晰，并为其他新闻条目打开大门，例如 RC 版本的新闻条目。更多更改正在进行中，敬请关注。

[2007 年 2 月 7 日]

PHP Québec 很高兴宣布 第五届 PHP Québec 大会。此次大会将于 2007 年 3 月 14 日至 16 日在加拿大蒙特利尔举行。它包括两天 技术演讲 和一天 研讨会。演讲嘉宾包括 Rasmus Lerdorf、Andrei Zmievski、Derick Rethans、Ilia Alshanetsky、John Coggeshall、Damien Séguy 以及其他许多知名 PHP 专家。

本次会议设有三个不同的主题：高级技术、数据可用性和 PHP：超越理论。PHP Québec 会议拥有超过 35 个讲座和工作坊，是学习最新开发和专业技术的绝佳机会，可以帮助您构建高质量的 PHP 软件并与 PHP 社区交流。

所有开源社区成员和主要贡献者均可享受特别优惠。

[2007 年 2 月 3 日]

PHP 文档团队很高兴向 PHP 社区展示对 PHP 手册 的一些修复和调整，包括

• 一个改进的基于 XSL 的构建系统，可以更及时地将编译后的手册交付给镜像（告别 dsssl）
• 手册页面现在可以包含图像（请参见 imagearc() 以获取示例）
• 更新的函数版本信息和捕获系统（更少的“无版本信息，可能只存在于 CVS 中”的消息）
• … 以及更多即将发布的内容！

请 帮助我们改进文档，通过 提交错误报告 以及为未记录的函数添加注释。

[2007 年 1 月 18 日]

继 2006 年的成功之后，PHP London 用户组 将于 2007 年 2 月 23 日星期五在伦敦举办 英国第二个专门的 PHP 会议。本次会议将是一项低成本活动，全天费用为 50 英镑。演讲者包括：Rasmus Lerdorf、Cal Evans、Simon Laws 和 Kevlin Henney。

[2007 年 1 月 12 日]

php|architect 很荣幸地宣布 php|tek 2007，该会议将于 2007 年 5 月 16 日至 18 日在美国伊利诺伊州芝加哥举行。

今年，会议再次承诺成为所有级别的 PHP 开发人员的一场精彩活动，将有来自 Rasmus Lerdorf、Chris Shiflett、Andrei Zmievski、Ilia Alshanetsky、Sara Golemon 等顶级 PHP 专家发表演讲。