# E.170\. 版本 7.4.13 > **發布日期:** 2006-05-23 這個版本包含各種自7.4.12以來的修復，包括非常嚴重的安全問題的補丁。 關于7.4主版本的新特性的信息，請查閱[Section E.183](#calibre_link-305)。 ## E.170.1\. 遷移到版本 7.4.13 運行7.4.X的用戶不需要轉儲/恢復。不過，如果你是從一個早于7.4.11的版本升級而來， 請查看7.4.11的版本聲明。 針對CVE-2006-2313和CVE-2006-2314中描述的SQL注入攻擊的完全安全可能需要在應用代碼中改變。 如果你的應用嵌入了不能信賴的字符串到SQL命令中，你應該盡快檢查他們， 以確保他們使用推薦的逃逸技術。在大多數情況下，應用應該使用庫或驅動提供的子程序 （如libpq的`PQescapeStringConn()`）來執行字符串逃逸， 而不是依賴于_ad hoc_代碼實現。 ## E.170.2\. 修改列表 * 改變服務器以在任何情況下都拒絕無效編碼的多字節字符 (Tatsuo, Tom) PostgreSQL已經朝這個方向發展有一段時間了， 檢查現在一致的應用于所有的編碼和所有的文本輸入中，并且現在總是錯誤而不僅僅是警告。 這個改變防衛了CVE-2006-2313中描述的SQL注入類型的攻擊。 * 拒絕在字符串字面值中不安全的使用`\'` 作為服務器端防衛CVE-2006-2314中描述的類型的SQL注入攻擊， 該服務器現在在SQL字符串字面值中只接受`''`，不接受`\'` 作為ASCII單引號的表示。缺省的，`\'`只在`client_encoding` 設置為僅客戶端的編碼(SJIS, BIG5, GBK, GB18030, 或 UHC)時拒絕， 這是可能有SQL注入的情況。可用一個新的配置參數`backslash_quote` 在需要時調節這個行為。請注意，針對CVE-2006-2314的完全安全可能要求客戶端側的改變； `backslash_quote`的目的是在一定程度上使得不安全的客戶端變得明顯。 * 修改libpq的字符串逃逸例程， 知道編碼注意事項和`standard_conforming_strings` 這修復了使用libpq的應用針對CVE-2006-2313和CVE-2006-2314中描述的安全問題， 也預防了轉換到SQL標準字符串文字語法的計劃。使用多個PostgreSQL 連接并發的應用應該遷移到`PQescapeStringConn()`和 `PQescapeByteaConn()`，以確保每個數據庫連接中使用的逃逸設置正確的動作了。 "手動"實現字符串逃逸的應用應該修改為依賴于庫例程。 * 修復一些不正確的編碼轉換函數 `win1251_to_iso`、`alt_to_iso`、 `euc_tw_to_big5`、`euc_tw_to_mic`、 `mic_to_euc_tw`在轉換內容時都會損壞。 * 清理`\'`在字符串中剩余的使用 (Bruce, Jan) * 修復有時會導致where OR條件索引掃描漏掉應該返回的行的bug * 修復btree索引被截斷情況下的WAL重放 * 為包含`|`的模式修復`SIMILAR TO` (Tom) * 修復服務器正確的使用自定義DH SSL參數 (Michael Fuhr) * 修復Intel Macs上的Bonjour (Ashley Clark) * 修復各種小的內存泄露