PHP 臭蟲月開跑，快去查看自己的 PHP 程式是否有漏洞

由 PHP 資安團隊 Hardened-PHP Project 支持的 month of PHP Bugs 開始了，不到一週已經公布了十筆以上的 PHP 安全漏洞。 PHP 的使用者快去查看自己的 PHP 程式是有否漏洞。

我大略看了一下，去掉那些罕用功能之漏洞，到目前為止有不少一般性的安全漏洞集中在 PHP4 。想想目前多數虛擬主機供應商仍只提供 PHP4 服務，真要為其中運作的 PHP 網站系統之安全性捏一把冷汗。

有兩個結構性的 crash bug: PHP Executor Deep Recursion Stack Overflow、PHP Variable Destructor Deep Recursion Stack Overflow。前者是遞迴深度、後者是巢狀陣列深度，這兩個安全漏洞與函數調用層數過深導致堆疊溢位有關。這是 PHP 解譯器的結構性問題 (其實每種程式語言都會有這類問題與相應限制) ，照 month of PHP Bugs 中透露的消息來看，短時間內 PHP 開發團隊還不會做出相關修正。