WW Teleinformática
Preparação para a atualização do PHP
Preparação para a atualização do PHP
  por allgood em Fri Sep 28 23:52:39 2012

O interpretador da linguagem PHP na versão 5.4 já foi lançado, com ele além das melhorias que costumam aparecer a cada nova versão existem algumas funcionalidades removidas. Duas delas estavam marcadas para serem 'obsolecidas' há algum tempo e finalmente foram removidas: register_globals e register_long_arrays. Muitos programadores contrariando à recomendação continuavam usando códigos que dependiam destas funções, e, algums sites antigos também. Veja o resto do artigo para entender o impacto dessas mudanças e o que precisa ser feito.

Anteriormente as variáveis fornecidas pela URL, por um formulário em modo POST ou GET, por um cookie ou mesmo por uma seção eram acessadas como variáveis globais normais do PHP. Isto permitia diversos exploits pois um atacante poderia injetar variáveis em um código. Por isso essa funcionalidade foi desativada, e para os que ainda desejavam ela, o parâmetro register_globals na configuração do PHP foi adicionado, mas foi avisado que um dia esta funcionalidade seria removida por completo.

O primeiro método que existiu para substituir foram os acessos direto às arrays que armazenavam estes valores, que eram respectivamente $HTTP_POST_VARS, $HTTP_GET_VARS, $HTTP_COOKIE_VARS e $HTTP_SESSION_VARS, e mais algumas variáveis internas começando com $_HTTP. Estas variáveis resolviam o problema anterior, porém eram longas demais, e com o tempo foram substituídas por $_GET, $_POST, $_COOKIE, $_SESSION e outras.

Da mesma forma que o register_globals, para os que ainda desejavam esta funcionalidade, foi criado o parâmetro register_long_arrays, mas também foi informado que um dia ele seria desativado. As variáveis longas não adicionam falhas de segurança, porém é importante que a linguagem seja mantida coesa, por isso está sendo forçada a remoção.

A versão 5.4 do PHP elimina as duas funcionalidades por completo, por isso é altamente aconselhável que todos os desenvolvedores PHP corrijam seus códigos antigos para que não dependam delas.

Todos os servidores mantidos pela WW precisam de suporte de segurança, eles tem instalada a distribuição Debian GNU/Linux, que na versão 7.0 a ser lançada em breve dará suporte apenas para a versão 5.4 do PHP. Por isso os clientes estão sendo orientados a verificar seus códigos, ou informar aos desenvolvedores dos mesmos para que os verifiquem. O upgrade do Debian pode ser adiado para até um ano após o lançamento da nova versão, pois este é o período em que a versão 6.0 ainda terá suporte de segurança, passado este período a WW não poderá manter a segurança destes servidores.

Então ATENÇÃO, se você utiliza código PHP que utilizam o register_globals ou o register_long_arrays, ele precisa ser corrigido! Entre em contato para que possamos auxiliar a elaborar um plano de ação para esta necessidade.


[ Remove Object ]