• ref:var/タワゴト(2007-02-24)
  • via:ときどきの雑記帳

よりにもよってstr_replace()ですよ。ibase_{delete,add,modify}_user() だったら、「使ってないからバージョンアップしなくていいや」でいいんだけど。この関数は世の中の大抵のスクリプト使ってる訳で。この件のように、殆どのスクリプトが使っている昔からの基本的関数にoverflowが見つかり、泣く泣くエンジンの再ビルド、ってパターンがPHPには多すぎじゃないかなぁ。またビルドであの長いconfigure唱えないといけないのか…と、世間のサーバ管理者はうんざりしていると思うのだけど。

PHP は RDBMS との binding なんかも組み込みのが多いからそう思うのかも知れないけど、普通、言語処理系(なりサーバプログラムなり)に脆弱性が見つかって「使ってないからバージョンアップしなくていいや」ではすまないケースって少なくないと思うんだけどなぁ。この間の Ruby の cgi.rb の件もそうだよね。
つか、単純に PHP の Security fix が多すぎるってのは分かるんだけど、ビルドってそんなに面倒か？security fix だけならそのまま以前の config.status を持ってきて実行するとか。それができないとしても、単に config.log の冒頭にあるのをコピペしてきて実行すればいいだけだし。それよりも、問題はバージョンアップ時のサーバの停止、起動のような。
あと、バージョン間の挙動の違いが怖くて必死にバックポートパッチを当てている管理者とかいそうだけどどうなんだろう。
まぁ、面倒なら Distro 標準のパッケージを使っとけばいいような気もする。