[2007 年 11 月 9 日]

PHP 开发团队很高兴地宣布立即发布 PHP 5.2.5。此版本侧重于提高 PHP 5.2.x 分支的稳定性，修复了 60 多个错误，其中一些与安全相关。鼓励所有 PHP 用户升级到此版本。

有关 PHP 5.2.5 版本的更多详细信息，请参阅5.2.5 版本公告，完整的更改列表可在PHP 5 的更改日志中找到。

PHP 5.2.5 中的安全增强和修复

• 修复了 dl() 以仅接受文件名。由 Laurent Gaffie 报告。
• 修复了 dl() 以将参数大小限制为 MAXPATHLEN (CVE-2007-4887)。由 Laurent Gaffie 报告。
• 修复了 htmlentities/htmlspecialchars 不接受部分多字节序列。由 Rasmus Lerdorf 报告
• 修复了 glibc 实现的 fnmatch()、setlocale() 和 glob() 函数中可能触发的缓冲区溢出。由 Laurent Gaffie 报告。
• 修复了“mail.force_extra_parameters” php.ini 指令由于安全隐患而无法在 .htaccess 中修改。由 SecurityReason 报告。
• 修复了错误 #42869（自动会话 ID 插入将会话 ID 添加到非本地表单）。
• 修复了错误 #41561（在 httpd.conf 中使用 php_admin_* 设置的值可以用 ini_set() 覆盖）。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可在此处获取升级指南，详细介绍了这些版本与 PHP 5.2.5 之间的更改。

[2007 年 10 月 29 日]

11 月 30 日至 12 月 1 日，加入我们参加第二届年度巴西 PHP 大会。活动将在圣保罗奥萨斯科的 UNIFIEO 举行。今年的会议将容纳 1000 人。除了演讲、案例、展位和新手和老手的大好交流时间外，还计划举办 3 小时的教程。访问网站了解更多详细信息。享受折扣价的提前注册截止日期为 11 月 9 日。

[2007 年 10 月 3 日]

PHP 文档团队很高兴地宣布发布用于生成 PHP 手册的新构建系统的初始版本。PhD（[PH]P based [D]ocBook renderer）是用 PHP 编写的，现在可以在docs.php.net上查看其构建版本。鼓励每个人测试和使用此系统，以便发现并修复错误。

新构建系统稳定后，预计 PHP 手册将进行更多更改，其中包括改进的导航系统和面向对象文档的样式。

您可以随意使用my.php将此开发镜像设置为您的默认镜像。

[2007 年 9 月 21 日]

11 月 7 日至 9 日，加入我们参加第二届年度华盛顿特区 PHP 大会。活动将在华盛顿特区中心的乔治·华盛顿大学的卡夫里茨会议中心举行。为期三天的会议于 11 月 7 日和 8 日开始，包括一般会议，并于 11 月 9 日结束，包括教程。今年的会议将邀请一些 PHP 社区顶级演讲者和开发人员，并专注于三个主要主题

• 可扩展性
• 安全
• PHP 的艺术

请参阅网站了解更多详细信息并进行注册。提前注册截止日期为 10 月中旬。

[2007 年 9 月 20 日]

法国AFUP协会自豪地宣布2007 年在巴黎举行的第六届年度 PHP 会议，时间为 2007 年 11 月 21 日和 22 日。开发人员和经理将齐聚一堂，与 Rasmus Lerdorf、Andrei Zmievski 和其他杰出的社区专家会面，参加为期两天的会议，内容涵盖企业解决方案和高级技术。

[2007 年 8 月 30 日]

PHP 开发团队很高兴地宣布立即发布 PHP 5.2.4。此版本侧重于提高 PHP 5.2.X 分支的稳定性，修复了 120 多个各种错误，此外还解决了几个低优先级的安全错误。鼓励所有 PHP 用户升级到此版本。

有关 PHP 5.2.4 版本的更多详细信息，请参阅5.2.4 版本公告，完整的更改列表可在PHP 5 的更改日志中找到。

PHP 5.2.4 中的安全增强和修复

• 修复了 wordwrap() 中的浮点异常（由 Mattias Bengtsson 报告）
• 修复了 GD 扩展中的多个整数溢出（由 Mattias Bengtsson 报告）
• 修复了 chunk_split() 中的大小计算（由 Gerhard Wagner 报告）
• 修复了 str[c]spn() 中的整数溢出。（由 Mattias Bengtsson 报告）
• 修复了 money_format() 不接受多个 %i 或 %n 令牌。（由 Stanislav Malyshev 报告）
• 修复了 zend_alter_ini_entry() memory_limit 中断漏洞。（由 Stefan Esser 报告）
• 修复了在 open_basedir 或 safe_mode 处于活动状态时不允许使用 MySQL 扩展处理 INFILE LOCAL 选项。（由 Mattias Bengtsson 报告）
• 修复了针对 open_basedir 和 safe_mode 检查 session.save_path 和 error_log 值 (CVE-2007-3378)（由 Maksymilian Arciemowicz 报告）
• 修复了 glob() win32 实现中可能发生的无效读取 (CVE-2007-3806)（由 shinnai 报告）
• 修复了 php_openssl_make_REQ 中可能发生的缓冲区溢出（由 hotbrev dot com 的 zatanzlatan 报告）
• 修复了 glob() 函数中的 open_basedir 绕过（由 peytz dot dk 的 dr 报告）
• 修复了会话文件是符号链接时会话扩展中可能发生的 open_basedir 绕过（由 durham dot ac dot uk 的 c dot i dot morris 报告）
• 改进了 MOPB-03-2007 的修复。
• 更正了 CVE-2007-2872 的修复。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可在此处获取升级指南，详细介绍了这些版本与 PHP 5.2.4 之间的更改。

[2007 年 7 月 25 日]

不要错过第三届年度 Zend/PHP 大会和博览会 2007！今年的会议有望成为有史以来最好的一届。加入 Zend、PHP 社区和来自世界各地的领先科技公司，参加为期三天的教育、学习和网络交流活动，外加一天的教程。2007 年的会议将举办 40 多场会议，一个展厅，展出 Adobe、IBM、PayPal 和 Zend 等领先公司的产品，一个非正式会议区域，以促进即兴讨论，以及大量的网络交流机会。

ZendCon2007 将为每个人提供一些内容——从新手到高级，从面向业务到专注于技术。您将听到来自 PHP 社区领导者和已实施基于 PHP 的计划的业务专家的意见。聆听 Zend 如何展示业务关键型 PHP 的路线图。与 Zend 开发团队会面。详细了解 Zend 开源项目。

ZendCon 2007 有望成为规模最大的 PHP 专用聚会。计划参加 ZendCon 2007，并加入 PHP 社区，与来自世界各地的顶尖 PHP 人才交流和学习。

有关更多信息，请访问http://www.zendcon.com/。

[2007 年 7 月 16 日]

php|architect 很荣幸地宣布php|works 2007，将于 2007 年 9 月 12 日至 14 日在美国佐治亚州亚特兰大举行。

今年，会议再次有望成为各个级别的 PHP 开发人员的优秀活动，届时将有来自顶级 PHP 专家的演讲，例如 Derick Rethans、Chris Shiflett、Andrei Zmievski、Sara Golemon 等等（以及许多新面孔）。

[2007 年 7 月 13 日]

今天距离 PHP 5 发布正好三年了。在这三年里，PHP 5 在 PHP 4 的基础上进行了许多改进。PHP 5 速度快、稳定且已准备好投入生产，并且随着 PHP 6 的推出，PHP 4 将停止维护。

PHP 开发团队在此宣布，对 PHP 4 的支持仅持续到今年年底。2007 年 12 月 31 日之后，将不再发布 PHP 4.4。我们将根据具体情况继续提供关键的安全修复程序，直到 2008 年 8 月 8 日。请利用今年剩余时间，使您的应用程序能够在 PHP 5 上运行。

有关从 PHP 4 迁移到 PHP 5 的文档，我们想将您引导至我们的迁移指南。在PHP 5.0 到 PHP 5.1和PHP 5.1 到 PHP 5.2迁移指南中也有其他信息。

[2007 年 6 月 1 日]

PHP 开发团队很高兴宣布立即发布 PHP 5.2.3。此版本继续改进 5.X 分支的安全性和稳定性，并解决了先前 5.2 版本引入的两个回归问题。这些回归问题与通过非阻塞 SSL 连接的超时处理以及在某些条件下缺少 HTTP_RAW_POST_DATA 相关。鼓励所有用户升级到此版本。

有关 PHP 5.2.3 版本的更多详细信息，请参阅5.2.3 版本公告，完整的更改列表可在PHP 5 的变更日志中找到。

PHP 5.2.3 中的安全增强功能和修复程序

• 修复了 chunk_split() 中的整数溢出问题（由 Gerhard Wagner 发现，CVE-2007-2872）
• 修复了 imagecreatefrompng 中可能出现的无限循环。（由 Xavier Roche 发现，CVE-2007-2756）
• 修复了 ext/filter 电子邮件验证漏洞（MOPB-45，由 Stefan Esser 发现，CVE-2007-1900）
• 修复了 bug #41492（realpath() 中的 open_basedir/safe_mode 绕过）（由 bugs dot php dot net at chsc dot dk 发现）
• 改进了 CVE-2007-1887 的修复程序，使其适用于非捆绑的 sqlite2 库。
• 添加了 mysql_set_charset() 以允许在运行时更改连接编码。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可以在这里找到升级指南此处，其中详细说明了这些版本与 PHP 5.2.3 之间的更改。

[2007 年 5 月 19 日]

第四届互联网技术大会将于 6 月 29 日至 30 日在保加利亚瓦尔纳市的海岸举行，您可以在那里将阳光、沙滩和技术融为一体。

与前三年一样，本次会议将重点关注网络编程、开源和 IT 领域的新技术。

本次会议免费参加。

[2007 年 5 月 3 日]

PHP 开发团队很高兴宣布立即发布 PHP 5.2.2和发布 PHP 4.4.7。这些版本是 5.x 和 4.4.x 分支的主要稳定性和安全增强功能，强烈建议所有用户尽快升级。有关 PHP 5.2.2 版本的更多详细信息，请参阅5.2.2 版本公告，完整的更改列表可在PHP 5 的变更日志中找到。有关 PHP 4.4.7 版本的详细信息，请参阅4.4.7 版本公告，完整的更改列表可在PHP 4 的变更日志中找到。

PHP 5.2.2 和 PHP 4.4.7 中的安全增强功能和修复程序

• 修复了 CVE-2007-1001，GD wbmp 与无效图像大小一起使用（由 Ivan Fratric 发现）
• 修复了 mail() 中的 asciiz 字节截断问题（MOPB-33，由 Stefan Esser 发现）
• 修复了 mb_parse_str() 中可用于激活 register_globals 的错误（MOPB-26，由 Stefan Esser 发现）
• 修复了 array_user_key_compare() 中的未分配内存访问/双重释放问题（MOPB-24，由 Stefan Esser 发现）
• 修复了 session_regenerate_id() 中的双重释放问题（MOPB-22，由 Stefan Esser 发现）
• 为 zip:// 和 bzip:// 包装器添加了缺少的 open_basedir 和 safe_mode 检查。（MOPB-21，由 Stefan Esser 发现）。
• 修复了 ftp_putcmd() 中的 CRLF 注入问题。（由 loveshell[at]Bug.Center.Team 发现）
• 修复了捆绑的 libxmlrpc 库中的远程触发缓冲区溢出问题。（由 Stanislav Malyshev 发现）

仅在 PHP 5.2.2 中的安全增强功能和修复程序

• 修复了通过 mail() 函数的 Subject 和 To 参数进行的标题注入问题（MOPB-34，由 Stefan Esser 发现）
• 修复了 unserialize S 类型中的错误长度计算（MOPB-29，由 Stefan Esser 发现）
• 修复了 substr_compare 和 substr_count 信息泄露问题（MOPB-14，由 Stefan Esser 发现）（Stas、Ilia）
• 修复了 make_http_soap_request() 中的远程触发缓冲区溢出问题。（由 Ilia Alshanetsky 发现）
• 修复了 user_filter_factory_create() 中的缓冲区溢出问题。（由 Ilia Alshanetsky 发现）
• 修复了 import_request_variables() 中可能出现的超级全局变量覆盖问题。（由 Stefano Di Paola 和 Stefan Esser 发现）
• 使用 max_input_nesting_level 限制输入变量的嵌套级别，以修复（MOPB-03，由 Stefan Esser 发现）

仅在 PHP 4.4.7 中的安全增强功能和修复程序

• phpinfo() 中的 XSS（MOPB-8，由 Stefan Esser 发现）

虽然上面列出的大多数问题都是局部的，但在某些情况下，在给定的特定代码路径下，它们可以从外部触发。因此，我们强烈建议您，如果您使用利用已识别为存在漏洞的函数和扩展的代码，请考虑升级您的 PHP。

对于从 PHP 5.0 和 PHP 5.1 升级到 PHP 5.2 的用户，可以在这里找到升级指南此处，其中详细说明了这些版本与 PHP 5.2.2 之间的更改。

更新：5 月 4 日；由于原始版本附带的 Apache2 模块存在故障，因此更新了 PHP 4.4.7 Windows 版本。

更新：5 月 23 日；由于意外，一些修复程序被列为在 PHP 5.2.2 和 4.4.7 中都已修复，但实际上仅在 PHP 5.2.2 中修复。PHP 4 变更日志未受影响。

[2007 年 4 月 14 日]

PHP 团队再次自豪地参与Google 暑期代码项目。今年夏天，七名学生将“翻转比特而不是汉堡包”。

• 在 Michael Wallner 的指导下，Hannes Magnusson 将致力于LiveDocs，这是一个“工具，用于在 Web 浏览器中动态显示 DocBook XML 文件，而无需首先构建所有 HTML 目标文件”。该项目对于 PHP 文档团队来说将非常有价值。
• PHP 解释器使用引用计数来跟踪哪些对象不再被引用，因此可以被销毁。当前实现中的一个主要弱点是它无法检测引用循环，即在循环图结构中相互引用的对象，而该循环图结构本身没有从外部引用。在 Derick Rethans 的指导下，David Wang 将实现一种新的引用计数算法来缓解此问题。
• Xdebug 为 PHP 开发人员提供了一系列有用的功能，包括详细的错误信息、代码覆盖率和分析支持，以及使用 GDB 和 DBGp 协议进行远程调试的支持。在 Xdebug 的创建者 Derick Rethans 的指导下，Adam Harvey 将开发一个跨平台的 GUI 应用程序，该应用程序实现 DBGp 协议，并允许以与开发环境无关的方式使用 Xdebug 调试 PHP 应用程序。
• 在 Lukas Smith 的指导下，Konsta Vesterinen 将致力于对象关系映射器Doctrine。
• 变异测试或自动错误播种是一种方法，其中测试工具对被测代码进行一些更改，运行测试，如果测试通过，则显示一条消息，说明它进行了哪些更改。这种方法不同于代码覆盖率分析，因为它可以找到由测试运行执行但实际上未经测试的代码。在 Sebastian Bergmann 的指导下，Mike Lewis 将为PHPUnit实现变异测试。
• 在 Helgi Þormar Þorbjörnsson 的指导下，Igor Feghali 将为MDB2_Schema添加对外键的支持，这是一个“使用户能够维护与 RDBMS 无关的 XML 格式的架构文件，这些文件可用于创建、更改和删除数据库实体并将数据插入数据库”的包。
• 在 David Coallier 的指导下，Nicolas Bérard-Nault 将为Jaws重构内部结构，这是一个用于构建动态网站的框架和内容管理系统，用于 PHP 6。

[2007 年 3 月 1 日]

PHP 开发团队很高兴宣布立即发布 PHP 4.4.6。

此版本解决的主要问题是在 PHP 4.4.5 中引入的崩溃问题。当启用 register_globals 时使用会话变量时，会出现此问题。

有关 PHP 4.4.6 版本的详细信息，请参阅4.4.6 版本公告，完整的更改列表可在PHP 4 的变更日志中找到。

[2007 年 2 月 8 日]

PHP 开发团队很高兴宣布立即发布 PHP 5.2.1和发布 PHP 4.4.5。这些版本是 5.x 和 4.4.x 分支的主要稳定性和安全增强功能，强烈建议所有用户尽快升级。有关 PHP 5.2.1 版本的更多详细信息，请参阅5.2.1 版本公告，完整的更改列表可在PHP 5 的变更日志中找到。有关 PHP 4.4.5 版本的详细信息，请参阅4.4.5 版本公告，完整的更改列表可在PHP 4 的变更日志中找到。

PHP 5.2.1 和 PHP 4.4.5 中的安全增强功能和修复程序

• 修复了会话扩展中可能存在的 safe_mode 和 open_basedir 绕过问题。
• 修复了在 64 位系统上使用某些输入字符串时出现的 unserialize() 滥用问题。
• 修复了会话扩展中可能出现的溢出和堆栈损坏问题。
• 修复了内部 sapi_header_op() 函数中的下溢问题。
• 修复了 shmop 扩展中未经验证的资源销毁问题。
• 修复了 str_replace() 函数中可能出现的溢出问题。
• 修复了多个代码路径中可能出现的超级全局变量覆盖问题。
• 修复了 wddx 扩展中可能出现的信息泄露问题。
• 修复了 64 位系统上 *print() 函数中可能出现的字符串格式漏洞。
• 修复了 ibase_{delete,add,modify}_user() 函数中可能出现的缓冲区溢出问题。
• 修复了 odbc_result_all() 函数中可能出现的字符串格式漏洞。

仅在 PHP 5.2.1 中的安全增强功能和修复程序

• 防止搜索引擎索引 phpinfo() 页面。
• 修复了 filter 扩展中的一些输入处理错误。

• 修复了一些代码路径中尝试分配负值导致的内存分配错误。
• 修复了zip、imap和sqlite扩展中可能存在的栈/缓冲区溢出。
• 修复了流过滤器中几个可能的缓冲区溢出。
• 内存限制现在默认启用。
• 添加了内部堆保护。
• 扩展了CGI和apache2 SAPI中$_SERVER的过滤器扩展支持。

仅PHP 4.4.5的安全增强和修复

• 修复了zip和imap扩展中可能存在的溢出。
• 修复了Windows上mail()函数中可能存在的缓冲区溢出。
• 取消了ovrimos扩展的捆绑。

发现并解决的大多数安全漏洞在大多数情况下只能被本地用户利用，无法远程触发。但是，在某些情况下，上述一些问题可以远程触发，或者被恶意本地用户在使用PHP作为Apache模块的共享主机设置中利用。因此，我们强烈建议所有PHP用户，无论版本如何，尽快升级到5.2.1或4.4.5版本。

对于从PHP 5.0和PHP 5.1升级到PHP 5.2的用户，可以在这里查看升级指南，其中详细介绍了这些版本与PHP 5.2.1之间的更改。

更新：2月14日；添加了PHP 4.4.5的发布信息。

更新：2月12日；Windows安装包在从以前的PHP版本升级时存在问题。此问题现已修复，新的文件已发布在下载区。

[2007 年 2 月 8 日]

php.net首页上的新闻已更改，会议公告现在位于其自己的页面上。这样做是为了保持php.net特定新闻的清晰，并为其他新闻条目（例如RC版本）打开大门。更多更改即将推出，请继续关注。

[2007年2月7日]

PHP魁北克很高兴地宣布第五届PHP魁北克会议。会议将于2007年3月14日至16日在加拿大蒙特利尔举行。会议包括2天的技术讲座和1天的研讨会。演讲嘉宾包括著名的PHP专家，例如：Rasmus Lerdorf、Andrei Zmievski、Derick Rethans、Ilia Alshanetsky、John Coggeshall、Damien Séguy等等。

会议有三个不同的主题：高级技术、数据可用性和PHP：超越理论。PHP魁北克会议拥有超过35个讲座和研讨会，是学习最新开发和专业技术以帮助您构建高质量PHP软件并与PHP社区成员交流的绝佳机会。

所有开源社区成员和主要贡献者均可享受特别优惠。

[2007年2月3日]

PHP文档团队很荣幸向PHP社区展示对PHP手册的一些修复和调整，包括

• 改进的基于XSL的构建系统，它将更及时地向镜像交付编译后的手册（告别dsssl）
• 手册页面现在可以包含图像（请参阅imagearc()以了解示例）
• 更新的函数版本信息和捕获系统（减少“没有版本信息，可能仅在CVS中”消息）
• …以及更多内容即将推出！

请通过帮助我们改进文档，方法是提交错误报告，并为未记录的函数添加注释。

[2007年1月18日]

继2006年的成功之后，PHP伦敦用户组将于2007年2月23日星期五在伦敦举办英国第二届专门的PHP会议。该会议将是一项低成本活动，一天的费用为50英镑。演讲嘉宾包括：Rasmus Lerdorf、Cal Evans、Simon Laws和Kevlin Henney。

[2007年1月12日]

php|architect很荣幸地宣布php|tek 2007，该会议将于2007年5月16日至18日在美国伊利诺伊州芝加哥举行。

今年，该会议再次承诺将成为各个级别的PHP开发人员的优秀活动，来自Rasmus Lerdorf、Chris Shiflett、Andrei Zmievski、Ilia Alshanetsky、Sara Golemon等顶级PHP专家的演讲。