CakePHP 1.3.18 和 2.4.8 发布

CakePHP 核心团队很高兴地宣布 1.3.18 和 2.4.8 立即可用。这些版本包含安全修复，建议所有使用 SecurityComponent 的 CakePHP 开发人员进行升级。

CakePHP 核心团队很高兴地宣布 1.3.18[1] 和 2.4.8[2] 立即可用。这些版本包含安全修复，建议所有使用 SecurityComponent 的 CakePHP 开发人员进行升级。以下列出了 2.4.8 中的一些更改：

• SQLServer 现在在描述表时会正确附加模式名称。
• Hash::extract() 现在可以匹配布尔属性。
• 使用 shell 时，fclose() 错误不再发生。
• CakeResponse::file() 现在在路径包含“..”时抛出异常。
• ShellDispatcher 现在将 argv 转换为数组。这修复了从非 CLI SAPI 调用 cake console 时的问题。
• TextHelper::autoLink() 现在可以正确链接包含“_”的子域的 URL。
• SecurityComponent 表单篡改哈希现在将包括 URL（包括查询字符串）作为哈希输入。

以下列出了 1.3.18 中的一些更改：

• 包含“:”或“?”的模型条件现在会得到正确处理。这修复了在条件中使用强制转换时出现的问题。
• SecurityComponent 表单篡改哈希现在将包括 URL 路径作为哈希输入。

如前所述，修复了与 SecurityComponent 相关的安全问题。对于任何使用 SecurityComponent 的人来说，这些版本都是推荐的升级。在这些版本之前，由 SecurityComponent 保护的表单可以提交到任何操作，而不会触发 SecurityComponent 的篡改保护。如果应用程序包含多个 POST 表单来操作同一个模型，则可能容易受到批量赋值问题的攻击。感谢 Kurita Takashi 通知 CakePHP 团队此问题并提出修复建议。

对所有参与者表示衷心的感谢，包括通过提交、工单、文档编辑以及其他方式为框架做出贡献的人。没有你，就不会有 CakePHP。