php – Gea-Suan Lin's BLOG

PHP 8 將會移除 XML-RPC，改放到 PECL 內

Twitter 上看到「PHP RFC: Unbundle ext/xmlrpc」這則消息，PHP 官方打算把 XML-RPC (也就是 git repository 裡面的 ext/xmlrpc) 拆出去，移到 PECL：

Unbundle ext/xmlrpc (i.e. move it to PECL) without any explicit deprecation.

主要的考慮是在於目前的 library 已經年久失修：

ext/xmlrpc relies on on libxmlrpc-epi, which is abandoned. Even worse, we are bundling a modified 0.51, while the latest version is 0.54.1. This is exacerbated by the fact that the system library is usually built against libexpat, but the bundled library is likely to be built against libxml2 using our compatibility layer.

另外應該也是因為 XML-RPC 用的人不多吧，投票是沒什麼玄念的 50:0，而且在 Packagist 上面也可以翻到一些用 PHP 實做的替代品，拿 xmlrpc 這個關鍵字搜了一下可以看到一些...

PHP 8 的提案，將 JSON library 放入必須項目

Twitter 上看到的通知，這個提案將 PHP 的 JSON 列為語言的必須項目，目前的狀態是 Under Discussion：「PHP RFC: Always available JSON extension」。

以前沒有引入的一個原因是因為底層使用的 library 的授權 JSON license 不是 open-source license，這對於要打包出 binary 散佈時的問題很大 (跟其他 license 衝突)：

The Software shall be used for Good, not Evil.

在 PHP 7 之後，JSON 的實做決定改用 jsond (參考「PHP RFC: Replacing current json extension with jsond」)，這邊用的是 PHP License 授權：「LICENSE」，這個因素就緩解了。

而這個提案提議拔掉 ./configure –-disable-json 關閉 JSON library 的能力，把 JSON library 變成 PHP language 的一部份：

Make it impossible to disable the JSON extension through configuration or build options. Require that JSON be built statically instead of as a shared library.

這個提案如果通過的話，對大多數人應該還是沒什麼影響，因為一般在用的版本都會裝 JSON library。而且現在會透過 Composor 管理套件，很容易就會有 dependency 會用到 JSON 而需要安裝 JSON library，問題不太大...

Rasmus 的平價 VPS 測試

Rasmus Lerdorf 整理的資料 (就是生出 PHP 的那個 @rasmus)，關於平價 VPS 的測試：「Low-Cost VPS Testing」。

因為是 PHP 的大頭，所以把編 PHP 當作是 benchmark 的項目之一也不算太意外。另外還是有比較常見的 dd 與 iperf3 測試資料可以看。

算是一個挖掘的點，之後也可以租幾台測試看看...

這次的漏洞是在打 CTF (capture the flag) 的時候發現的，這個安全漏洞已經被給 CVE 編號並且修正了：「CVE-2019-11043」，回報者與官方的討論可以在「Sec Bug #78599 env_path_info underflow in fpm_main.c can lead to RCE」這邊看到。從回報的標題可以知道這次頗熱鬧的原因，是因為這次有機會 RCE (remote code execution)...

在「PHuiP-FPizdaM」這邊可以看到比較系統性的整理 (以及 exploit)，看起來雖然有不少條件，但都不算太特別的指令，如果以全世界的機器來看，應該會有不少機器中獎...

換到 PHP 7.3

上次是 2018 年五月把 PHP 換到 7.2 (參考「把 Blog 換成 PHP 7.2」)，這次是在整理機器時發現 blog 這台機器還在跑 7.2，就更新一下系統把上面的站台都換到 7.3。

蠻多人都測過效能了 (像是「The Definitive PHP 5.6, 7.0, 7.1, 7.2 & 7.3 Benchmarks (2019)」)，目前看到的資料都會快一些，應該是沒有太大問題，之後可以考慮再把 OPcache 的可用空間大小再降一些 (預設是 128 MB，但用 opcache-status 看起來只用了 65 MB 左右)，把記憶體空間讓給其他程式用...

不過 7.4 也快出了...

移除 Blog 上的 Google Analytics，改用 Matomo

跑了快一個月了，大概整理一下...

一直都有在規劃降低對 Google 服務的依賴性，最主要的是使用 DuckDuckGo 替代 Google Search (但搜尋的品質還是差一截，所以寫了一些工具幫助我在不滿意的時候可以快速切到 Google 搜尋：「在 DuckDuckGo 搜尋頁快速切換到 Google 的套件」)。

而最近在研究的另外一個服務是 Google Analytics，我只用很基本的功能 (像是熱門文章，作業系統與瀏覽器的比率這些很基本的資料)，不需要對於觀看客群有了解 (這個需要像 Google Analytics 跨站蒐集資料)，所以替代方案應該不難找...

憑著印象與一些關鍵字，找到了 Matomo，這是一套 open source 的 web analytics 服務，以前叫做 Piwik (參考「Piwik is now Matomo - Announcement」)，整個系統用 PHP + MySQL 就可以打發 (反正量不大的東西不需要拿什麼神兵利器出來，MySQL 硬塞硬算就可以了)，接著把本來 Google Analytics 的 js 換掉就行了...

跑了快一個月後感覺還 ok，基本的資訊都有...

Packagist.org 要搬到 AWS 上...

Packagist 打算把服務丟上 AWS：「An Update on Packagist.org Hosting」。

We decided to migrate the packagist.org website to AWS as well, including the database, metadata update workers, etc. This makes it much easier to build a highly-available setup, where machines can be rebooted or even rebuilt safely without bringing down the whole site.

不知道會搬多少上去... 目前 .com 的 packagist.com 已經上 AWS 了，但 packagist.org 與主要的流量來源 repo.packagist.org 看起來都還沒。

PHP 終止 mirror 站台計畫

Twitter 上看到的公告：

Effective today, the PHP project has ended its volunteer mirror program. All users of PHP will now be accessing https://t.co/S2GoDChwgr sites directly from project servers and via CDN.https://t.co/POypIycsti #NotAnAprilFools
— php.net (@official_php) April 1, 2019

本來 PHP 開放讓各地區的自願者提供頻寬，使用 PHP 的網域名稱 (像是 tw.php.net 這樣)，現在則是全部都收回，由官方統一提供有 HTTPS 的網頁版本 https://www.php.net/。

目前看起來 latency 頗高，都是到美東的伺服器上？下載也都還是指在 https://www.php.net/ 上，不知道 CDN 是用在哪裡...

Ondřej Surý 的 PPA 將會繼續支援 PHP 5.6 與 PHP 7.0 的安全性更新

在 Twitter 上看到 Ondřej Surý 因為得到協助 (包括 Microsoft)，所以會繼續支援 PHP 5.6 與 PHP 7.0 的 PPA 更新：

PHP 5.6 and PHP 7.0 will stay (for now): https://t.co/iMkbVQdn5x
// Big kudos to @RemiCollet and @weltling for backporting the security fixes for EOL versions of PHP in @Microsoft @github repository: https://t.co/IWRJHlDFqo
— DEB SURY ORG (@debsuryorg) March 8, 2019

在「PHP 5.6 and PHP 7.0 will stay (for now)」裡面有提到這是 best effort，沒有保證會維持多久：

Please note that this is based on best effort and without any warranty.

對於還在這兩個版本掙扎的人再多了一些時間...

PHP 數字與字串比較的提案

在「Links: February 2019」這邊看到 PHP 社群的提案，想要改善數字與字串比較的結果：「PHP RFC: Saner string to number comparisons」。

他給了一個經典的範例：

$validValues = ["foo", "bar", "baz"];
$value = 0;
var_dump(in_array($value, $validValues));
// bool(true) WTF???

原因是 in_array() 是 == 而非 ===，所以就噴了... 而提案我看了還是覺得不行啊，看看會怎麼改吧 :o

Tag: php