PHP 4.1.0 Release Announcement

この和訳は藤本@アストラザスタジオ様に頂きました。ありがとう御座います。

ご注意
藤本様に質問のメールなどを出すのはご遠慮ください。
和訳に関する質問やミスや改良案などございます方はwebstaffまでお願いします。
原文はhttp://www.php.net/release_4_1_0.phpになりますのでそちらをご参照下さい。
また、技術的な内容に関しましてはPHP-usersメーリングリストへお願いします。

PHP 4.1.0 Release Announcement

長いQA(Quality Assurance)プロセスを経て、ついにPHP 4.1.0がリリースされました。 http://www.php.net/downloads.php でダウンロードできます。

PHP 4.1.0 に含まれる重要な更新は以下の通りです：

新しい(フォームから送信された値等の)入力インターフェースによるセキュリティの改善(後述)
全体的なパフォーマンスの向上
Windowsでのパフォーマンスと安定性の劇的な向上
Windows上でのマルチスレッドサーバモジュール(ISAPI, Apache等)だと、負荷が掛かった状態でも30倍程度速度が向上します。Windows版PHPの改善に協力してくれたBrett BrewerとMicrosoftの彼のチームに感謝します。
拡張モジュールのバージョニングサポート
現在の所ほとんど使用されていませんが、この仕組みはバージョンの異なる拡張モジュールを別のモジュールとして扱うために導入されています。この変更による否定的側面は、以前のバージョンのPHP対応した拡張モジュールをロードすると、分かり易いメッセージを出力する代わりにクラッシュしてしまうことです。PHP 4.1.0用にビルドされた拡張モジュール*だけ*を使用するように気をつけてください。
すぐに使える(turn-key)出力の圧縮サポート
多くのバグフィクスと新しい関数

お気づきの人も多いかと思いますが、このバージョンは非常に歴史的なものです。なぜなら(バージョン番号の)2番目の数字を初めてインクリメントしたからです:) この前例の無い変更には主に2つの理由、すなわち新しい入力インターフェースとバージョニングサポートによってモジュールのバイナリレベルでの互換性が失われたことによります。

以下の記述は新しい入力方式(ここで言う入力方式とは、フォームから送信された内容やクッキー、環境変数、セッション変数等にPHPスクリプトからアクセスする方法のことです)に関するものです。PHP 4.1.0での変更点の完全な一覧は changelogを参照下さい。

セキュリティ：新しい入力方式

なによりもまず、貴方がこの先何を読むにせよ、PHP 4.1.0は以前の入力方式をサポートするということを強調しておきます。以前のアプリケーションは変更することなしに問題なく動作します。

さぁ、古い話はほうっておいて先に進みましょう :)

いくつかの理由によって、register_globalsがonになっている(つまりフォーム、サーバそして環境変数が自動的にグローバル変数になる)と、色々な意味で危険があります。例えば、以下のようなちょっとしたコードを考えてみましょう：


<?php
if (authenticate_user()) {
  $authenticated = true;
}
...
?>

このコードは危険です。なぜならリモートユーザが'authenticated'をフォーム変数として送信するだけで、たとえ authenticate_user() がfalseを返したとしても $authenticated は実際には true となってしまうのです。これは単純な例ですが、実際にも少なからぬPHPのアプリケーションがこの機能に関連する問題によって危険なものとなっています。

安全なコードをPHPで書くのは十分に可能ですが、私たちはPHPが危険なコードをあまりに簡単に書けてしまうのは良くないと考えて、大規模な変更を行い、 register_globalsを使用*しない*ように推奨する決心をしました。言うまでもなく、世界中の非常に多くのPHPコードはこの機能の存在を前提としているので PHPから実際に削除してしまう、という考えは現在のところまったくありませんが、出来る限りこの機能の使用を中止するように推奨していくつもりです。

register_globalsをoffにしてPHPをアプリケーションを書くユーザの助けとなるように、以前のグローバル変数の代わりとなるようないくつかの新しい特別な変数を追加しました。新しい特殊な配列は以下の7つです：

$_GET - GETを通じて送信された内容が格納されます
$_POST - POSTを通じて送信された内容が格納されます
$_COOKIE - HTTPクッキーの内容が格納されます
$_SERVER - サーバ変数の内容が格納されます(例:REMOTE_ADDR)
$_ENV - 環境変数が格納されます
$_REQUEST - GET, POST, クッキーの内容が格納されます。言い換えると、ユーザから送信された全ての情報ということです。セキュリティ的側面から見ると必ずしも信頼できるものではありません。
$_SESSION - セッションモジュールにより登録された内容が格納されます

さて、これらの変数は特殊な内容を格納していますが、他にも特別なことがあります。それは、どのようなスコープであっても自動的にグローバル変数として扱われる、ということです。これはつまり、'global'宣言をすることなくどこでもこれらの変数にアクセスできるということです。例えば：


<?php
function example1()
{
    print $_GET["name"];   // 動作します。 'global $_GET;' は不要です!
}
?>

といったコードが問題なく動作します。この機能が古いコードを新しいコードに書き直す際の痛みを和らげてくれることを期待しています。また、この機能は新規にコードを書くが非常に簡単になるという自信があります。もう一つ、ちょっとした機能があります。それは$_SESSION変数に新しい内容を追加すると、その内容を自動的に(つまり、session_register()を呼んだかのように) セッション変数として登録してくれる、ということです。この機能はセッションモジュールに関してのみ適用されます。つまり$_ENVに新しい内容を追加しても、暗黙のうちにputenv()が実行される、ということはありません。

PHP 4.1.0 はまだデフォルトでregister_globalsをonにしています。これは過渡期のバージョンなので、私たちはアプリケーションの作者、特に世界中の人々に使われるようなアプリケーションの作者の方々に、register_globalsが offになっている環境でもそのアプリケーションが動作するように変更することを推奨します。もちろん、PHP 4.1.0 で提供される新しい機能を使用することで移行を簡単にすることが出来ます。

PHPの次のsemi-majorバージョンでは、PHPを新規インストールしたときにはデフォルトでregister_globalsがoffとなる予定です。しかし心配は不要です。すでにregister_globalsがonになっているphp.iniファイルがある場合にそれを変更するようなことはありません。新しいマシンにPHPをインストールした場合 (主として新規の場合)にのみ影響します。もちろん、それをonにすることもできます。

注意：これらの配列のうち、いくつかは古い名前(例えば $HTTP_GET_VARS)を持っています。これらの名前はまだ使用可能ですが、この短くて自動的にグローバルとなる新しい変数を使用することをお勧めします。

この問題を指摘、分析してくれた Shaun Clowes (shaun@securereality.com.au) に感謝します。