CodeIgniter 2.2.6リリース

CakePHP 1.x系の最終バージョン CakePHP 1.3.21 がリリースされたようですが、CodeIgniter 2.x系の最終バージョン2.2.6も2015/10/31にリリースされています。セキュリティ修正版です。以下が含まれています。

• xss_clean()メソッドの脆弱性修正
• base_url()のHostヘッダインジェクション回避のための修正
• CAPTCHAヘルパーでシステムのPRNGを優先して使用するように変更

XSSフィルタの脆弱性修正はもはや恒例になった感がありますが、個人的にはXSSフィルタは使わないことを推奨しています。詳細は、以下の記事をご覧下さい。

• CodeIgniter ユーザが CodeIgniter の XSS フィルタについて知るべき 5つのこと

なお、CodeIgniter 3.0ではXSSフィルタを入力フィルタとして使うことは誤りでありXSSフィルタは出力時にのみ使うべきである旨がユーザガイドに明記されています。また、global_xss_filteringは廃止予定となりました。

CodeIgniter 2.xのEOL

かねてから アナウンス されていたとおり、2015/10/31で2.x系の保守は終了しました。既存ユーザは3.0へアップグレードすることが推奨されています。

• Upgrading from 2.2.x to 3.0.x — CodeIgniter 3.0.3 documentation
• 2.2.x から 3.0.0 へのアップグレード — CodeIgniter 3.1.0-dev ドキュメント

参考

• CodeIgniter 2.2.6 Released