# E.190\. 版本 7.3.15 > **發布日期:** 2006-05-23 這個版本包含各種7.3.14的補丁，包括極端嚴重的安全問題的補丁。 ## E.190.1\. 遷移到版本 7.3.15 運行7.3.X的不需要轉儲/恢復。不過，如果從一個7.3.13更早的版本升級而來， 請查閱7.3.13的版本說明。 在CVE-2006-2313 和 CVE-2006-2314中描述的針對SQL注入攻擊的完全安全可能需要在應用代碼中改變。 如果你的應用在SQL命令中嵌入了不能信任的字符串，那么你應該盡快檢查它們， 以確保它們正在使用推薦的轉義技術。在大多數情況下，應用應該使用庫或驅動提供的子程序 （如libpq的`PQescapeStringConn()`）來執行字符串轉義， 而不是依賴于_ad hoc_代碼。 ## E.190.2\. 修改列表 * 更改服務器使在其任何情況下都拒絕無用編碼的多字節字符(Tatsuo, Tom) 當PostgreSQL在某段時間一直朝著這個方向移動時， 檢查現在一致的應用到所有的編碼和所有的文本輸入，并且現在錯誤不僅僅是警告那么簡單。 這個改變防范在CVE-2006-2313里描述的SQL注入攻擊類型。 * 拒絕字符串里不安全的使用`\'` 作為防范在CVE-2006-2314里描述的SQL注入攻擊類型的服務器端，服務器現在只接受`''` 而不是`\'`作為SQL字符串字面值里的ASCII單引號表示。缺省的， 只有`client_encoding`設置為僅客戶端的編碼(SJIS, BIG5, GBK, GB18030, 或 UHC)時拒絕`\'`，這是可能有SQL注入的情況。 一個新的配置參數`backslash_quote`可在需要時用于調整這個行為。 請注意，針對CVE-2006-2314的完全安全可能需要客戶端側的改變； `backslash_quote`的目的是在某種程度上使不安全的客戶端是不安全的顯而易見。 * 修改libpq的字符串逃逸例程，使其知道編碼注意事項 libpq使用這個補丁應用于CVE-2006-2313 和 CVE-2006-2314中描述的安全問題。 使用多個PostgreSQL并發連接的應用應該遷移到`PQescapeStringConn()` 和`PQescapeByteaConn()`，以確保為每個數據庫連接中使用的設置正確的轉義。 "手動"進行字符串轉義的應用應該被修改為依賴于庫例程。 * 修復一些不正確的編碼轉換函數 `win1251_to_iso`, `alt_to_iso`, `euc_tw_to_big5`, `euc_tw_to_mic`, `mic_to_euc_tw`都分配為不同的范圍。 * 清理字符串中殘留的`\'`的使用(Bruce, Jan) * 正確的修復服務器使用自定義的DH SSL參數(MichaelFuhr) * 修復各種小內存泄露