Обнаружена еще одна глобальная уязвимость в РНР

Точнее, проблема довольно стара, но все никак не исправлялась разработчиками РНР.
Только в новой 5.3.9 версии уже вроде исправили, но данная версия еще нигде не стоит.
Кто дружит с английским, могут прочитать оригинал доклада тут: http://www.phpclasses.org/blog ... .html
---
Ну а для остальных, я вкратце перескажу суть уязвимости.
---
Как известно, РНР принятые от пользователя данные помещает в глобальные массивы GET POST COOKIE. Массив для сортировки и индексации использует свой внутренний Хэш алгоритм.

Но беда в том, что колличество принятых переменных никак не ограничено.
Это мы обычно из формы посылаем ну максимум штук 10 параметров.
А злоумышленнику не составит большого труда сбацать эксплойт, который посылает к примеру 10000 POST данных, или более. В этом случае, сервер начинает очень сильно тормозить.
И даже маленьким к-вом запросов можно завалить довольно мощный сервер.

Как бороться?
Средствами РНР никак, программист тут бессилен.
Нужно обновлять версию РНР что установлена на Вашем сервере до 5.3.9 или новее, там в php.ini уже добавлен новый параметр, который явным образом ограничивает макс. к-во принятых данных GPC

Ну и есть еще один вариант, еще в 2004 году,Ю одним специалистом по безопасности было написано РНР расширение (ext) которая помогает в решении проблемы http://www.hardened-php.net/su ... _vars

AlkatraZ, сухосин почти везде стоит

AlkatraZ, кстати в сети полно статей про сухосин, как про добро от него, так и о вреде, новичкам про него стоит почитать, и крутить осторожно

Слава богу есть решение, ну и фиг с ним. Альк, спасибо за инфу.

AlkatraZ, спс за инфу.
Как скоро теперь нам ждать атаку на джон с 10000 POST запросами? гг

k_2, нико) грозился вроде, ждёмс.
ЗЫ, сори за флуд, не сдержался.

Кстати ещё давно думал над этим когда занимался библиотекой, объем данных при передаче запросом можно регулировать,а вот число этих запросов нет, удивлен был тогда)Гг … теперь понятно что эт глобальная проблема была)