with texto strip_tags remove limpiar from eliminar allow all php security suhosin

texto - ¿Por qué Suhosin no forma parte del núcleo de PHP?



string strip_tags (3)

Me pregunto si han contribuido con su código de nuevo en el proyecto principal de php.

Por lo general, este es el modo en que el nuevo código se integra en proyectos de código abierto.

Parece que Suhosin remueve el núcleo de PHP como un medio para proteger a los usuarios de fallas en el núcleo. También parece que algunas personas inteligentes están usando este sistema. Dado que parece ser algo bueno, tengo curiosidad de por qué no es parte del núcleo de PHP, para empezar. ¿Alguien sabe?

Actualización: aparentemente algunas distribuciones de Linux también empaquetan PHP con Suhosin por defecto. Esto parece ser cierto para Debian (Lenny al menos) y Arch Linux. Cualquier otro paquete de distribuciones PHP con Suhosin por defecto?


Supongo que las razones principales para que el equipo de php no incluya a Suhosin son:

  • Puede romper el código php existente (mal escrito)
  • Puede romper (mal escrito) extensiones de php (recuerdo que Zend Optimizer es problemático)

Uno de los tipos principales detrás de Suhosin es Stefan Esser. Stefan parece haber estado en desacuerdo con los desarrolladores principales de PHP con respecto a la seguridad en los últimos años. También fue uno de los chicos detrás del mes de los errores de PHP que tenía la intención de llamar la atención sobre el triste estado de seguridad de PHP (en opinión de Stefan).

Dado que los chicos Suhosin han decidido seguir su propio camino y trabajar fuera del proyecto PHP, me puedo imaginar que:

  • Es posible que Suhosin no haya sido contribuido para su inclusión.
  • Los chicos de Suhosin no han podido convencer al equipo PHP de su utilidad, o no lo han intentado.
  • El equipo principal de PHP no está abierto a las contribuciones de los tipos detrás de Suhosin.

Algunas distribuciones de Linux como Debian (Etch y Lenny), Ubuntu y Arch incluyen el parche Suhosin en su paquete PHP, por lo que en esos sistemas a menudo encontrará que está activado por defecto. Las distribuciones derivadas de Red Hat (Red Hat Enterprise, CentOS, Fedora, etc.) no incluyen Suhosin en sus paquetes PHP.

Nota: No tengo ninguna asociación con desarrolladores de PHP Core, o Suhosin, pero es una suposición razonable basada en algunas de las personalidades involucradas.