PHP 4.4.3

PHP 开发团队于2006年8月3日自豪地宣布发布PHP 4.4.3。此版本结合了少量错误修复并解决了许多安全问题。鼓励所有 PHP 4.x 用户尽快升级到此版本。

解决的安全问题包括：

（1）不允许会话名称中的某些字符。

（2）修复了 wordwrap() 函数内部的缓冲区溢出问题。

（3）防止通过 tempnam() 函数的第二个参数跳转到父目录。

（4）改进了 error_log() 函数的安全模式检查。

（5）修复了 phpinfo() 函数中的跨站点脚本。

（6）该版本还包括大约 20 个错误修复和升级的 PCRE 库（版本 6.6）。

【变更日志】

为 cURL 扩展的 open_basedir/safe_mode 检查添加了控制字符检查。

向 wordwrap() 函数添加了溢出检查。

添加了对会话名称中特殊字符的检查。

改进了 error_log() 函数的安全模式检查。

将 PCRE 更新到 6.6 版。

修复了 tempnam() 函数中极长路径的处理。

修复了 phpinfo() 中带有长输入的 XSS。

修复了 libmysql.c 中 Win32 系统的 create_named_pipe() 中可能存在的缓冲区溢出问题。

修复了错误#37720（merge_php_config 打乱了值）。

修复了错误#37569（WDDX 错误地编码了高 ascii 字符）。

修复了错误#37510（即使失败，session_regenerate_id 也会更改 session_id()）。

修复了错误#37360（损坏的 GIF 文件导致内存错误）。

修复了错误#37348（使 PEAR 安装忽略 open_basedir）。

修复了错误#37346（使用无效颜色图格式时崩溃）。

修复了错误#37162（wddx 不构建为共享扩展）。

修复了错误#37046（foreach 打破了静态范围）。

修复了错误#37045（修复了对 http 重定向的特殊字符的检查）。

修复了错误#36857（添加了对向 HTTP 流包装器提取部分内容的支持）。

修复了错误#36776（node_list_wrapper_dtor 段错误）。

修复了错误#36459（不正确地将 PHPSESSID 添加到包含 \r\n 的链接）。

修复了错误#36458（sleep() 接受负值）。

修复了错误#36242（stream_select() 中可能存在内存损坏）。

修复了错误#36223（curl 绕过 open_basedir 限制）。

修复了错误#36205（重复 cookie 上的内存泄漏）。

修复了错误#36148（unpack("H*hex", $data) 在字符串末尾添加了一个额外的字符）。

修复了错误#36017（打开 URL 时 fopen() 使 PHP 崩溃）。