Month of PHP Security - Summary

最新推荐文章于 2025-07-23 14:26:41 发布
最新推荐文章于 2025-07-23 14:26:41 发布
阅读量114 收藏
点赞数
文章标签: php
在PHP安全月期间,共发现40个漏洞,接近2007年整个PHP错误月的披露数量。截止目前,还有11天,预计会有更多漏洞出现,尤其SQL注入漏洞在PHP应用中增多。网站进行了改进,增加了评论功能,并提供Twitter关注。最后10天内,发生了PHP解释器内存泄露、安全课程和多篇文章发布。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

it is 21th of May. The Month of PHP Security
(http://www.php-security.org) is still running and we have reached a
vulnerability count of 40 vulnerabilities, which is nearly as much as we
disclosed during the whole Month of PHP Bugs in 2007. However there are
11 more days until the end of May and therefore there are still plenty
of more vulnerabilities to come. Escpecially the amount of SQL injection
vulnerabilites in PHP applications will increase, because it is called
SQL injection marathon for a reason. And we also have several articles
and submissions left.

There have been some changes to the website that should make it easier
to read and we also added the possiblity to comment on bugs/entries/news
and articles.

For those that don't already know you can follow the Month of PHP
Security on Twitter, too. Just follow @mops_2010

Here is the summary of what happened during the last 10 days.

Related Events
--------------

Returning into the PHP Interpreter – Remote Exploitation of Memory
Corruptions in PHP is not over, yet.
http://php-security.org/2010/05/21/related-event-returning-into-the-php-interpreter-remote-exploitation-of-memory-corruptions-in-php-is-not-over-yet/

PHP Security Course – Advanced PHP Auditing at Source and Bytecode level
http://php-security.org/2010/05/19/related-event-php-security-course-advanced-php-auditing-at-source-and-bytecode-level/


Articles
--------

MOPS Submission 07: Our Dynamic PHP – Obvious and not so obvious PHP
code injection and evaluation
http://php-security.org/2010/05/20/mops-submission-07-our-dynamic-php/

MOPS Submission 06: Variable Initialization in PHP
http://php-security.org/2010/05/17/mops-submission-06-variable-initialization-in-php/

Article: Decoding a User Space Encoded PHP Script
http://php-security.org/2010/05/13/article-decoding-a-user-space-encoded-php-script/

MOPS Submission 05 – The Minerva PHP Fuzzer
http://php-security.org/2010/05/11/mops-submission-05-the-minerva-php-fuzzer/


PHP Vulnerabilities
-------------------

MOPS-2010-040: PHP strtr() Interruption Information Leak Vulnerability
http://php-security.org/2010/05/21/mops-2010-040-php-strtr-interruption-information-leak-vulnerability/

MOPS-2010-039: PHP strpbrk() Interruption Information Leak Vulnerability
http://php-security.org/2010/05/21/mops-2010-039-php-strpbrk-interruption-information-leak-vulnerability/

MOPS-2010-038: PHP http_build_query() Interruption Information Leak
Vulnerability
http://php-security.org/2010/05/21/mops-2010-038-php-http_build_query-interruption-information-leak-vulnerability/

MOPS-2010-037: PHP str_getcsv() Interruption Information Leak Vulnerability
http://php-security.org/2010/05/21/mops-2010-037-php-str_getcsv-interruption-information-leak-vulnerability/

MOPS-2010-036: PHP htmlentities() and htmlspecialchars() Interruption
Information Leak Vulnerability
http://php-security.org/2010/05/21/mops-2010-036-php-htmlentities-and-htmlspecialchars-interruption-information-leak-vulnerability/

MOPS-2010-034: PHP iconv_mime_encode() Interruption Information Leak
Vulnerability
http://php-security.org/2010/05/18/mops-2010-034-php-iconv_mime_encode-interruption-information-leak-vulnerability/

MOPS-2010-033: PHP iconv_substr() Interruption Information Leak
Vulnerability
http://php-security.org/2010/05/18/mops-2010-033-php-iconv_substr-interruption-information-leak-vulnerability/

MOPS-2010-032: PHP iconv_mime_decode() Interruption Information Leak
Vulnerability
http://php-security.org/2010/05/18/mops-2010-032-php-iconv_mime_decode-interruption-information-leak-vulnerability/

MOPS-2010-028: PHP phar_wrapper_open_url Format String Vulnerabilities
http://php-security.org/2010/05/14/mops-2010-028-php-phar_wrapper_open_url-format-string-vulnerabilities/

MOPS-2010-027: PHP phar_parse_url Format String Vulnerabilities
http://php-security.org/2010/05/14/mops-2010-027-php-phar_parse_url-format-string-vulnerabilities/

MOPS-2010-026: PHP phar_wrapper_unlink Format String Vulnerability
http://php-security.org/2010/05/14/mops-2010-026-php-phar_wrapper_unlink-format-string-vulnerability/

MOPS-2010-025: PHP phar_wrapper_open_dir Format String Vulnerability
http://php-security.org/2010/05/14/mops-2010-025-php-phar_wrapper_open_dir-format-string-vulnerability/

MOPS-2010-024: PHP phar_stream_flush Format String Vulnerability
http://php-security.org/2010/05/14/mops-2010-024-php-phar_stream_flush-format-string-vulnerability/

MOPS-2010-022: PHP Stream Context Use After Free on Request Shutdown
Vulnerability
http://php-security.org/2010/05/12/mops-2010-022-php-stream-context-use-after-free-on-request-shutdown-vulnerability/

MOPS-2010-021: PHP fnmatch() Stack Exhaustion Vulnerability
http://php-security.org/2010/05/11/mops-2010-021-php-fnmatch-stack-exhaustion-vulnerability/


PHP Application Vulnerabilities
-------------------------------

MOPS-2010-035: e107 BBCode Remote PHP Code Execution Vulnerability
http://php-security.org/2010/05/19/mops-2010-035-e107-bbcode-remote-php-code-execution-vulnerability/

MOPS-2010-031: e107 Usersettings loginname SQL Injection Vulnerability
(UPDATED)
http://php-security.org/2010/05/16/mops-2010-031-e107-usersettings-loginname-sql-injection-vulnerability/

MOPS-2010-030: CMSQlite mod Parameter Local File Inclusion Vulnerability
http://php-security.org/2010/05/15/mops-2010-030-cmsqlite-mod-parameter-local-file-inclusion-vulnerability/

MOPS-2010-029: CMSQlite c Parameter SQL Injection Vulnerability
http://php-security.org/2010/05/15/mops-2010-029-cmsqlite-c-parameter-sql-injection-vulnerability/

MOPS-2010-023: Cacti Graph Viewer SQL Injection Vulnerability
http://php-security.org/2010/05/13/mops-2010-023-cacti-graph-viewer-sql-injection-vulnerability/


Thank you
Stefan Esser

Month of PHP Security / php-security.org
SektionEins GmbH / www.sektioneins.com

iteye_11341
关注
ELK安装配置学习笔记
glisten0317的博客
08-30 1371
ELK(filebeat、logstash、elasticsearch和kibana)的安装配置,监控nginx日志
实用的 shell 脚本
weixin_46575363的博客
02-08 282
1、服务器系统配置初始化 #/bin/bash #安装系统性能分析工具及其他 yum install gcc make autoconf vim sysstat net-tools iostat iftop iotp wget lrzsz lsof unzip openssh-clients net-tool vim ntpdate -y #设置时区并同步时间 ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime if ! crontab -l |gr
php $this-%3euid,phplist 3.2.6 SQL Injection
weixin_28679635的博客
03-17 1039
Security Advisory - Curesec Research Team1. IntroductionAffected phplist 3.2.6Product:Fixed in: 3.3.1Fixed Version https://sourceforge.net/projects/phplist/files/phplist/3.3.1/Link: ...
SSM宠物医院-毕业设计源码66095
2401_88653928的博客
05-28 1353
用户管理、宠物信息管理、寄养信息管理、药品信息管理、申领信息管理、问诊信息管理、宠物病例管理等模块.......
Kali Linux渗透测试 074 扫描工具-Skipfish
kevinhanser
03-05 3826
>本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 > >1. Skipfish 简介 >2. Skipfish 基本操作 >3. 身份认证 >4. 提交用户名密码表单
Linux---基础部分
yangenguang的博客
04-07 3016
前期课堂笔记 文章目录前期课堂笔记1.linux系统优化、linux介绍2.linux发展史3.linux发现版本4.虚拟机介绍5.虚拟机软件6.系统网络优化7.linux系统优化 步骤7.1修改系统下载源shell什么是shell:链接Linux的桥梁 是一个应用程序 是一个解释器最常用的bash和shshell的种类。Liunx中的一些特殊路径bash解析器中的快捷键history修改主机名# 方式一:#方式二:查看系统IP系统时间格式化时间设置时间同步互联网时间系统硬件时钟系统软件时钟获
springboot企业人力资源管理系统-计算机毕业设计源码29005
wxin_VXbishe的博客
07-18 487
在关键功能实现方面,本论文详细阐述了员工信息管理、薪资和福利管理、考勤记录管理等功能的实现过程。通过实现员工信息的增删改查功能,系统能够方便地管理员工的基本信息、职位信息和联系方式等;通过实现薪资和福利管理功能,系统能够自动计算员工的薪资和福利,并生成相应的报表;通过实现考勤记录管理功能,系统能够实时记录员工的考勤情况,并生成考勤报表供管理人员查看。
Illustrative examples of consuming Y2 Web Services
Bruccce的博客
06-25 1207
Illustrative examples of consuming Y2 Web Services Contents Changes in the document 5 Introduction 6 PHP 7 Installing the environment 7 WSDL Cache 7 Basic authentication 8 Code 8 Execution of the scr...
moodle config-dist.php -> config.php 一切都在这里,需要的加点注释
sflsgfs的专栏
04-02 4141
做点说明 <?php /////////////////////////////////////////////////////////////////////////// // // // Moodle configuration file
学习笔记:The Best of MySQL Forum
aecuhty88306453的博客
12-09 1143
http://mysql.rjweb.org/bestof.html I have tagged many of the better forum threads. 'Better' is based on how good I thing the answer was. (<bias> I wrote many, but not all, of the better an...
11 【实操篇-定时任务 软件安装 克隆虚拟机】
DSelegent的博客
08-23 578
11 【实操篇-定时任务 软件安装 克隆虚拟机】
【Oracle11g官方文档阅读】DBA Essentials-上篇
萝卜吃鱼914的博客
07-05 1193
Oracle Database Online Documentation 11g Release 2 (11.2) DBA Essentials Manage all aspects of your Oracle databases with the Enterprise Manager GUI. 文章目录2 Day DBAPreface1 Introduction2 Installing Ora...
NLP与AI会议期刊详细整理「CCF, SCI」
热门推荐
IndexFziQ 优快云
10-23 1万+
本文档旨在调查所有可用的 NLP+AI 会议和期刊(主要针对自然语言处理学者),包括CCF等级、SCI、影响因子、主页和投稿介绍。 此处建议同学们早点想想未来走什么方向(比如教职/互联网/出国),就要决定自己是要投期刊,还是会议,还是追求影响因子。衷心祝愿您的论文被接受。我也将本文档已经发布到GitHub,欢迎来点赞~也欢迎贡献你所知道的会议期刊。
宝塔访问lnmp项目,跳转不到项目根目录问题解决
qq_58778333的博客
07-21 315
解决办法:宝塔网站中,默认文档一栏,按此顺序。(nginx伪静态别忘记配置)lnmp架构,tp6框架。访问却一直到不了项目根目录。
PHP防范SQL注入攻击的5种高效方法与实践
独立开发者阿乐的博客
07-23 859
PHP防范SQL注入攻击指南 本文全面介绍了PHP中防范SQL注入攻击的关键技术。SQL注入是危害严重的Web安全漏洞,可导致数据泄露、篡改甚至服务器被控。文章详细解析了SQL注入原理与危害,并提供了多种防御方案: 预处理语句:PDO和MySQLi预处理是首选方案,通过参数绑定从根本上防止注入 输入验证:严格的格式检查与过滤作为第二道防线 ORM框架:Eloquent等ORM自动处理安全查询 权限控制:数据库用户遵循最小权限原则 进阶防护:WAF规则、存储过程及日志监控 文章还指出了常见误区,强调预处理语句
网络基础17--设备虚拟化
2301_76981288的博客
07-23 498
IRF(Intelligent Resilient Framework,智能弹性架构)是将多台设备通过堆叠口连接在一起形成一台“联合设备”。
电商开放平台获取商品数据返回信息详解
专业研发电商平台API开放接口,搭建独立站系统,反向海淘代购系统十年+。想要了解更多API接口知识可以私信哦~
07-22 630
通过以上方法,可系统化解析电商开放平台的商品数据,构建高效的数据处理流程。
Java中IO多路复用技术详解
最新发布
持续输出Java相关知识
07-23 1440
Java中的IO多路复用是实现高性能、高并发服务器的核心技术之一。本文全面深入剖析Java中IO多路复用的底层原理、NIO核心组件(Channel、Buffer、Selector)、非阻塞编程模型、以及实际案例中的应用场景,辅以丰富的示例代码讲解每个知识点,帮助读者彻底掌握Java NIO体系与实战能力。
bad day-of-month 怎么解决
06-09
"bad day-of-month" 是一个错误信息,通常在日期格式化或解析时出现。它表示日期中的日数超出了该月中的最大天数,例如在二月份输入了31日。要解决这个问题,可以检查输入的日期是否符合该月的最大天数。可以使用编程语言中的日期库或函数来验证日期是否合法,并在输入不合法时提示用户重新输入。另外,也可以使用日期选择器等工具来避免这种错误的出现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值