E.144. 版本 8.0.8 · PostgreSQL 中文文檔 9.3

# E.144\. 版本 8.0.8 > **發布日期:** 2006-05-23 這個版本包含各種自8.0.7以來的修復，包括對極其嚴重安全問題的修復。關于8.0主版本的新特性信息，請參閱[Section E.152](#calibre_link-274)。 ## E.144.1\. 遷移到版本 8.0.8 運行8.0.X的用戶不需要轉儲/恢復。不過，如果你是從一個早于8.0.6的版本升級而來，那么請參閱8.0.6的版本聲明。針對CVE-2006-2313中描述的SQL注入攻擊的完全安全和CVE-2006-2314 可能需要在應用代碼中改變。如果你有應用嵌入了不可信的字符串到SQL命令中，那么你應該盡快檢查他們，以確保他們使用的是推薦的逃逸技術。在大多數情況下，應用應該使用庫或驅動（如libpq的 `PQescapeStringConn()`）提供的子程序執行字符串逃逸，而不是依賴于_ad hoc_代碼執行逃逸。 ## E.144.2\. 修改列表 * 更改服務器以拒絕在所有情況下無效編碼的多字節字符 (Tatsuo, Tom) PostgreSQL已經朝這個方向發展了一段時間了，檢查現在一致的應用到所有編碼和所有文本輸入，并且現在總是錯誤而不僅僅是警告。這個修改防御了CVE-2006-2313中描述的類型的SQL注入攻擊。 * 拒絕在字符串文本中不安全的使用`\'` 作為服務器端防御CVE-2006-2314中描述的類型的SQL注入攻擊，服務器現在只接受`''`不接受`\'` 作為SQL字符串文本中ASCII單引號的表示。缺省的，僅當`client_encoding` 設置為僅客戶端的編碼時(SJIS, BIG5, GBK, GB18030, 或 UHC)，拒絕`\'`，這是SQL注入有可能會發生的情況。一個新的配置參數`backslash_quote`可以用來在需要時調整這個行為。請注意，針對CVE-2006-2314的完全安全可能需要客戶端側的改變； `backslash_quote`的目的部分是為了讓不安全的客戶端是不安全的顯而易見。 * 修改libpq的字符串逃逸例程，意識到編碼注意事項和`standard_conforming_strings` 這修復了使用libpq的應用在CVE-2006-2313和CVE-2006-2314 中描述的安全問題，并且也預防了轉換到SQL標準字符串文字語法的計劃。使用多個并發的PostgreSQL連接的應用應該遷移到 `PQescapeStringConn()`和`PQescapeByteaConn()`，以確保在每個數據庫連接中使用的設置正確的做了逃逸。 "手動"做字符串逃逸的應用應該被修改為依賴庫例程。 * 修復一些不正確的編碼轉換函數 `win1251_to_iso`, `alt_to_iso`, `euc_tw_to_big5`, `euc_tw_to_mic`, `mic_to_euc_tw`都中斷了改變范圍。 * 清理字符串中僅剩的`\'`的使用 (Bruce, Jan) * 修復導致OR'd索引掃描有時丟失它們應該返回的行的bug * 修復btree索引已經被截斷時的WAL重放 * 為包含`|`的模式修復`SIMILAR TO` (Tom) * 修復`SELECT INTO`和`CREATE TABLE AS`，以在缺省表空間中創建表，而不是在基本目錄中 (Kris Jurka) * 修復服務器，以正確的使用自定義的DH SSL參數 (Michael Fuhr) * 字符Intel Macs中的Bonjour (Ashley Clark) * 修復各種小的內存泄露 * 修復在一些Win32系統上的口令提示問題 (Robert Kinberg)