Piştî salek pêşveçûn serbestberdana projeyê , ku modulek ji bo wergêra PHP7 peyda dike da ku ewlehiya hawîrdorê baştir bike û xeletiyên hevpar ên ku di xebitandina sepanên PHP-ê de dibin sedema qelsiyan asteng bike. Module jî dihêle hûn biafirînin ji bo rakirina pirsgirêkên taybetî bêyî guheztina koda çavkaniyê ya serîlêdana xizan, ku ji bo karanîna di pergalên mêvandariya girseyî de hêsan e ku ne gengaz e ku meriv hemî serîlêdanên bikarhêner nûve bike. Mesrefên zêde yên modulê têne texmîn kirin ku hindiktirîn in. Modul bi C-yê hatî nivîsandin, di forma pirtûkxaneyek hevbeş de ("extension=snuffleupagus.so" di php.ini de) ve girêdayî ye û lîsansa di bin LGPL 3.0.
Snuffleupagus pergalek qaîdeyan peyda dike ku dihêle hûn şablonên standard bikar bînin da ku ewlehiyê baştir bikin, an qaîdeyên xwe biafirînin da ku daneyên têketinê û parametreyên fonksiyonê kontrol bikin. Mînakî, qaîdeya "sp.disable_function.function("pergal").param("ferman").value_r("[$|;&`\\n]").drop();" destûrê dide te ku hûn di argumanên fonksiyonê de karanîna tîpên taybetî bêyî guheztina serîlêdanê sînordar bikin. Rêbazên çêkirî têne peyda kirin da ku çînên qelsbûnê yên wekî pirsgirêkan asteng bikin, bi serialîzasyona daneyan, bikaranîna fonksiyona PHP mail(), rijandina naveroka Cookie-yê di dema êrişên XSS de, pirsgirêkên ji ber barkirina pelan bi koda îcrakar (mînak, di forma ), kalîteya belengaz nifşê hejmarên rasthatî û avakirina XML çewt.
Modên çêtirkirina ewlehiya PHP-ê ku ji hêla Snuffleupagus ve têne peyda kirin:
- Ji bo Cookies alayên "ewle" û "heman site" (parastina CSRF) bixweber çalak bike, Cookie;
- Komek qaîdeyên çêkirî ji bo naskirina şopên êrîşan û lihevkirina sepanan;
- Bi zorê aktîvkirina gerdûnî ya "" (mînak, dema ku li hêviya nirxek yekjimar wekî argumanek be, hewldanek ji bo diyarkirina rêzek asteng dike) û parastina li dijî ;
- Astengkirina standard (mînak, qedexekirina "phar: //") bi navnîşa spî ya wan a eşkere;
- Qedexekirina pêkanîna pelên ku têne nivîsandin;
- Lîsteyên reş û spî ji bo eval;
- Pêdivî ye ku dema ku bikar bînin kontrolkirina sertîfîkaya TLS-ê çalak bikin
curl; - Zêdekirina HMAC li tiştên serialîzekirî da ku bicîh bikin ku deserialîzasyon daneyên ku ji hêla serîlêdana orjînal ve hatine hilanîn vedigire;
- Daxwaza moda têketinê;
- Astengkirina barkirina pelên derveyî li libxml bi girêdanên di belgeyên XML de;
- Qabiliyeta girêdana hilgirên derveyî (upload_validation) ji bo kontrolkirin û şopandina pelên barkirî;
Di nav di guhertoya nû de: Piştgiriya ji bo PHP 7.4 çêtir kir û bi şaxê PHP 8 re ku niha di pêşkeftinê de ye re lihevhatinek pêk anî. Hêza tomarkirina bûyeran bi syslog zêde kir (rêbera sp.log_media ji bo tevlêbûnê tê pêşniyar kirin, ku dikare nirxên php an syslog bigire). Koma rêgezên xwerû hate nûve kirin da ku qaîdeyên nû ji bo qelsiyên ku vê dawiyê hatine nas kirin û teknîkên êrîşê yên li dijî sepanên tevneyê vedihewîne. Piştgiriya çêtirîn ji bo macOS û karanîna berfireh a platforma entegrasyona domdar a ku li ser GitLab-ê ye.
Source: opennet.ru