1. del af PHP 5.4 opdatering: Deaktivering af magic_quotes_gpc mfl.

php-med-transVi har brugt meget lang tid på, at undersøge hvordan vi skal tilbyde PHP 5.4 til vores kunder og hvordan opgraderingen skal foregå.

Problemet

Vi er klar over at mange kunder gerne vil have PHP 5.4 hurtigst muligt, men der er mange ting i PHP 5.4 som kan give problemer, både for vores kunder og for os selv. F. eks. vil PHP 5.4 betyde at man ikke længere kan bruge register_globals, magic_quotes_gpcregister_long_arrays eller safe_mode.
Vi tager sikkerheden på vores servere meget alvorlig og derfor er fjernelsen af safe_mode et stort problem for os. Det er den primære grund til, at vi er så lang tid om at skifte til PHP 5.4.
Der kan endvidere opstå problemer med bagudkompatibilitet til PHP 5.3, som kunde/programmør bedes være opmærksom på. Se hele listen her: http://dk1.php.net/manual/en/migration54.incompatible.php

Løsningen

Vi mener nu at være nået et skridt nærmere den “rigtige løsning” for vores fremtidige PHP platform. Derfor vil vi allerede nu, gerne varsle den planlagte opdateringen til PHP 5.4 senere på året. Sørg for at opdatere dine scripts, dit CMS system og lignende. Så er du rigtig godt stillet.

For at gøre klar til PHP 5.4 har vi for lang tid siden deaktiveret register_globals og nu er tiden inde til at deaktivere magic_quotes_gpc og register_long_arrays. Mange CMS og blog systemer har i årevis taget højde for at magic_quotes og register_long_arrays ikke er aktiveret, så det er primært i ens egen kode, at man lige skal undersøge om det vil give mulige sikkerhedsproblemer og SQL injections.

Ønsker du fortsat at bruge magic_quotes_gpc eller register_long_arrays, kan det stadig aktiveres via din .htaccess fil, men bemærk dog at funktionenerne altså forsvinder helt sammen med PHP 5.4.

Vi deaktiverer magic_quotes_gpc og register_long_arrays på alle vores linux servere d. 14 februar. 

 

Den endelige dato for opgraderingen til PHP 5.4 er ikke fastsat endnu.

8 thoughts on “1. del af PHP 5.4 opdatering: Deaktivering af magic_quotes_gpc mfl.”

  1. Ærlig talt så er jeg lidt skuffet over dette. PHP v. 5.3 havde end of life juli sidste år, og php v. 5.4 blev udgivet for næsten 2 år siden. Yderligere PHP 5.5 er allerede udgivet, så hvorfor ikke gå hele vejen og undersøge, hvad der skulle til for at tilbyde denne version og bruge tid på få det klaret ordentligt. I stedet for endnu en gang at blive hængende på en ældre version.

    1. Problemet er bagudkompatibilitet. Det er nemt nok at sige vi skal opgradere til det nyeste af det nyeste, men hvis det ødelægger folks hjemmesider og der er ting der ikke virker med 5.5 endnu (f.eks. Ioncube og Suhosin), så giver det bare ikke specielt meget mening at opgradere til PHP 5.5. Hvis en opgradering var let og uden konsekvenser, så havde vi gjort det for lang tid siden :)

      PHP 5.3 er ikke end-of-life som sådan. Versionen får stadig sikkerhedsopdateringer. Feature-stop var Marts 2013.

  2. Spændende!

    Er det ikke en mulighed, at tilbyde valg af PHP version i ens kontrolpanel?.. Så vælger man selv, om man ønsker at køre på 5.3, 5.4 eller 5.5 – Dvs. dem der er klar til 5.5 kan blot skfite, og udnytte dette?

    1. Det er ikke en funktion vi sigter efter at tilbyde, med mindre det bliver noget der er lige til at lave og ændre for kunden.

  3. Vil safe_mode stadig være “on” når i opdatere. Synes nemlig at en af de mange fordele ved unoeuro er sikkerheden.

    1. safe_mode vil være slået fra (da funktionen helt er fjernet), men vi sørger for at sikkerheden selvfølgelig stadig er i top efter opdateringen.

Comments are closed.