FuelPHP 1.7.2がリリースされました post

FuelPHP 1.x系の最新の安定版であるFuelPHP 1.7.2が7/13にリリースされました。

セキュリティ修正を含むため、すべてのFuelPHPユーザは1.7.2へすみやかにアップグレードすることが推奨されます。アップグレードの前にChangeLogをよく確認しておきましょう。

なお、FuelPHPの開発は2.0に移っており、1.x系には大きな新機能は追加されません。

1.7.2のバグ修正は1.8/developブランチに送信してください。1.8/developブランチは、1.x系の保守のためのブランチです。

セキュリティ修正

いくつかな軽微なセキュリティ修正がされています。

  • Request_Curlの自動フォーマットの脆弱性。1.7.2では自動フォーマットがデフォルトでoffに変更されました。自動フォーマットを使う場合は、1.7.2以降でも信頼できるサイトしかアクセスしない、レスポンスをきちんと検証するなどの注意が必要です。
  • DB::select()メソッドでのSQLインジェクションの可能性。これにより、DB::select("LOWER \"field\")")という書き方は使えなくなりました。DB::select(DB::Expr("LOWER \"field\")"))と書き直す必要があります。
  • エラーメッセージでのXSSの可能性。
  • プロファイラでのXSSの可能性。
  • HTMLタグ属性の値の中のダブルクォートをエスケープ。

主な変更点

詳細は、ChangeLog v1.7.2を参照してください。多くのバグ修正や機能追加が含まれています。

  • Composerからインストールできるようになりました。FuelPHP 1.7.2のComposerによるインストール参照。
  • ViewModelがPresenterに名称変更されました。
  • Agentクラスのbrowscap.orgのURLが更新され、正常に機能するように。
  • Validationクラスのrequireにfalseを渡した場合、エラーではなくなりました。
  • PDOドライバがPDOのエラーコードではなく、データベースのエラーコードを返すように変更されました。

Emailパッケージ

  • Mailgun、Mandrillドライバの追加。
  • STARTTLSのサポート。

バグ情報

バグに関する情報は、以下を参照願います。

関連

Date: 2014/07/17

Tags: fuelphp, release