PHPGangsta - Der praktische PHP Blog

PHP Blog von PHPGangsta


PHP und Apache Versionen von PHP Blogs

with 17 comments

Ich habe mal einen kleinen Test gemacht: Ich habe die PHP-Blogs aus meiner großen PHP-Blog Sammlung genommen, dazu noch einige Ergebnisse wenn man nach „php blog“ googled, und mir die PHP-Versionen angeschaut, wenn welche angegeben sind. Und bei einigen kann ich nur mit dem Kopf schütteln.

Aktuell sind zur Zeit: PHP 5.3.8 und PHP 5.2.17, wobei 5.2.x nicht mehr supported wird. PHP 5.3 ist also eigentlich Minimum.

Von denen, die ihre PHP Version bekanntgeben sind nur 5 Seiten mit PHP 5.3.x unterwegs. 17 mit PHP 5.2.x, PHP 5.0 ist mit einem Eintrag vertreten, und PHP 4.4 benutzen sogar noch 2 Leute. Ich kann nur hoffen dass letztere ihre Ausgabe faken und dass das nicht wirklich korrekte Informationen sind. Wobei 4.4.9 neuer ist als 5.2.0 . Beim Apache sind die meisten auf Apache 2.2 angelangt, aber auch dort gibt es alte Versionen von 2.2 die Sicherheitslöcher haben, und auch Apache 2.0 und Apache 1.3 Installationen. Apache 2.2.3 ist beispielsweise über 5 Jahre alt.

Wenn ihr schon alte PHP- und Apache-Versionen einsetzt, dann schaltet wenigstens die entsprechenden Header aus in der php.ini:

expose_php Off

bzw. beim Apache:

ServerSignature On|Off|EMail
ServerTokens Minimal|ProductOnly|OS|Full

oder noch besser: UPDATEN!! PHP 5.3 gibt ca. 20-30% Performance frei Haus, ganz zu schweigen von den neuen Möglichkeiten und den geschlossenen Sicherheitslücken. Wenn euer Hoster nicht updaten möchte oder kann, dann wechselt den Hoster…

Hier die Ergebnisse:

http://www.phpgangsta.dePHP Version unbekanntnginx
http://daraff.chPHP/5.2.17Apache/2.2.17 (FreeBSD) mod_hcgi/0.8.0 mod_ssl/2.2.17 OpenSSL/1.0.0c DAV/2
http://blog.frontend-development.chPHP Version unbekanntApache
http://krsteski.dePHP/4.4.9-0.dotdeb.1Apache
http://www.php-archiv.dePHP Version unbekanntApache/2.2.9
http://www.phpblogger.netPHP Version unbekanntApache
http://www.phpblogstars.dePHP/5.2.17Apache/2.2
http://phphacker.netPHP Version unbekanntApache
http://www.phphatesme.comPHP/5.2.6-1+lenny10Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny10 with Suhosin-Patch mod_perl/2.0.4 Perl/v5.10.0
http://www.phpmonkeys.dePHP/5.2.4-2ubuntu5.17Apache
http://ragtek.org/blogPHP/5.3.5Apache
http://unite-it.atPHP/5.0.4Apache/2.0.54 (Fedora)
http://blog.zf-info.dePHP/5.2.17Apache
http://blog.aditu.dePHP/5.2.12-nmm2Apache
http://phpbloke.dePHP/5.3.1-0.dotdeb.1Apache/2.2.8 (Ubuntu) PHP/5.3.1-0.dotdeb.1 with Suhosin-Patch mod_ssl/2.2.8 OpenSSL/0.9.8g
http://www.phpmaniac.dePHP/5.2.12-nmm2Apache
http://phpperformance.dePHP/5.3.6Apache/2.2.19
http://softwareentwickler.blogspot.comPHP Version unbekanntGSE
http://www.somecodeblog.dePHP Version unbekanntGSE
http://phpjunkie.dePHP/5.2.12-nmm2Apache
http://php.about.comPHP Version unbekanntApache
http://www.ralfeggert.dePHP/4.4.9Apache
http://www.php-developer-blog.dePHP/5.2.17Apache/2.2.17
http://www.planet-php.netPHP/5.2.9RC4-devnginx/0.7.67
http://www.procata.com/blog/PHP Version unbekanntApache
http://wordpress-deutschland.org/PHP/5.2.12-nmm2Apache
http://www.simplephpblog.com/PHP Version unbekanntNginx / Varnish
http://blog.ebene7.comPHP/5.2.12-nmm2Apache
http://php100.wordpress.comPHP Version unbekanntnginx
http://www.phpecho.dePHP Version unbekanntApache/2.2.9 (Debian)
http://phpblogger.de/PHP/5.3.2-1ubuntu4.8Apache/2.2.14 (Ubuntu)
http://www.simpleblogphp.comPHP/5.2.17Apache/2.2.19 (Unix) mod_ssl/2.2.19 OpenSSL/0.9.8g FrontPage/5.0.2.2635 mod_bwlimited/1.4 mod_auth_passthrough/2.1 mod_fcgid/2.3.6
http://codekicker.dePHP Version unbekanntServer Version unbekannt
http://php.dePHP Version unbekanntApache
http://php.netPHP/5.2.17Apache/1.3.41 (Unix) PHP/5.2.17
http://blog.phpmoz.orgPHP/5.2.17Apache mod_fcgid/2.3.6 mod_auth_passthrough/2.1 mod_bwlimited/1.4 FrontPage/5.0.2.2635
http://www.inside-php.dePHP/5.2.0-8+etch16Apache
http://www.phpforum.dePHP/5.3.2-1ubuntu4.9Apache/2.2.14 (Ubuntu)
http://www.zfforum.de/PHP/5.2.11-0.dotdeb.0Apache/2.2.3 (Debian) mod_fastcgi/2.4.2 mod_ssl/2.2.3 OpenSSL/0.9.8c

Für die, die es interessiert, meine Version ist aktuell v5.3.8-1~dotdeb.1

Falls ihr selbst eure Seiten oder die eurer Freunde untersuchen wollt:

<?php

require_once 'Zend/Http/Client.php';

$sites = array(
    'http://www.phpgangsta.de',
);
foreach ($sites as $site) {
    echo $site.';';

    try {
        $client = new Zend_Http_Client();
        $client->setMethod(Zend_Http_Client::HEAD);
        $client->setUri($site);

        $response = $client->request();

        $powered = $response->getHeader('X-Powered-By');
        if (empty($powered)) {
            echo "PHP Version unbekannt;";
        } else {
            echo $powered.';';
        }

        $server = $response->getHeader('Server');
        if (empty($server)) {
            echo "Server Version unbekannt\n";
        } else {
            echo $server."\n";
        }
    } catch (Exception $e) {
        echo "maybe offline? ".$e->getMessage()."\n";
    }
}

Ihr erhaltet eine Liste, semikolonsepariert, die ihr dann als .csv abspeichern könnt. Also Leute, updaten! Wir sollten doch Vorreiter und gute Vorbilder sein oder nicht?

Written by Michael Kliewe

August 26th, 2011 at 9:55 am

17 Responses to 'PHP und Apache Versionen von PHP Blogs'

Subscribe to comments with RSS or TrackBack to 'PHP und Apache Versionen von PHP Blogs'.

  1. Im Hostingbereich ist es ja eh etwas seltsam. Viele Anbieter haben zwar mittlerweile eine Weiche zwischen PHP 4 und 5, aber da das dann 5.2 ist, ist es eigentlich unglaublich, dass man quasi um eine Weiche für 5.3 betteln muss.

    Natürlich hat es da leichter wer einen eigenen Server betreibt. Aber ich frage mich echt wann wenigstens 4 endlich mal auszurotten ist.

    CrazyBell

    26 Aug 11 at 11:20

  2. Header:

    Connection: close
    Date: Fri, 26 Aug 2011 10:37:23 GMT
    Server: Cherokee
    Content-Encoding: gzip
    Vary: Accept-Encoding
    Content-Type: text/html

    200 OK

    $ php -v
    PHP 5.3.8-1~dotdeb.1 with Suhosin-Patch (cli) (built: Aug 23 2011 10:33:56)
    Copyright (c) 1997-2011 The PHP Group
    Zend Engine v2.3.0, Copyright (c) 1998-2011 Zend Technologies
    with Suhosin v0.9.32.1, Copyright (c) 2007-2010, by SektionEins GmbH

    $ cherokee -V
    Cherokee Web Server 1.2.98
    Written by Alvaro Lopez Ortega
    Copyright (C) 2001-2011 Alvaro Lopez Ortega.This is free software; see the source for copying conditions. There is NO
    warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

    # mysql -V
    mysql Ver 14.16 Distrib 5.2.8-MariaDB, for debian-linux-gnu (x86_64) using readline 6.1

    Hilfreich ist übrigens cron-apt. Das nervt dann per E-Mail. :-)

    Oliver

    26 Aug 11 at 12:46

  3. Das kann man sich ja leider nicht immer aussuchen. Wer irgendwo nur ein kleines, günstiges Webspace-Paket hat…

    Oli

    26 Aug 11 at 13:30

  4. @Oli: Bei X-beliebigen Webseiten würde ich dir eventuell noch zustimmen, aber nicht bei IT-interessierten Leuten, die sich auch etwas um Sicherheit kümmern sollten. Man kann auch den Hoster wechseln, es gibt viele gute und auch preisgünstige Hoster die halbwegs auf dem aktuellen Stand sind. Oder man schaltet eben die besagten Header aus wenn man die Möglichkeit hat. Für mich ist eine 3 oder 5 Jahre alte, mit Sicherheitslücken gespickte Software ein Grund upzudaten oder zu wechseln. Auf solch einem Webspace kann man nicht mit gutem Gewissen irgendetwas laufen lassen, das ist leichtsinnig und Datenleck + Spamschleuder nur eine Frage der Zeit.

    Michael Kliewe

    26 Aug 11 at 16:59

  5. @CrazyBell
    Bei meinem Hoster (Strato) ist es tatsächlich so, dass ich im April angefragt habe, ob es denn nicht möglich wäre auf PHP 5.3 upzugraden. Ich wurde mit der Aussage vertröstet, dass man sicherlich upgraden werde, man wisse nur nicht wann.
    Dann, vor einigen Wochen habe ich wieder eine Mail geschickt, diese sollte dann an die „Fachabteilung“ weitergeleitet werden. Diese Fachabteilung hat aber bisher immer noch nicht geantwortet.

    Was bleibt, ist PHP 5.2. Und das wird nicht nur nicht mehr von PHP.net unterstützt, sondern auch mein Lieblings-PHP-Framework braucht auch schon PHP 5.3.

    Philipp

    26 Aug 11 at 17:15

  6. Müsste man mal rausfinden, ob man so einen Mist ausserordentlich kündigen kann. Uralte Programmversionen halte ich für risikoreich und daher unbenutzbar. Wenn die Kiste gehackt wird, übernehmen die auch nicht die Verantwortung dafür.

    Oliver

    26 Aug 11 at 18:00

  7. Um es gar nicht drauf ankommen zu lassen, werde ich auch wohl bald wechseln…

    Philipp

    26 Aug 11 at 18:01

  8. Da kann ich Michael nur zustimmen: Wechselt eure Hosting-Anbieter. Alles andere ist doch Quatsch.

    Die Leute hier nicht anonymisiert „anzuprangern“, geht mir allerdings dann doch zu weit.

    mermshaus

    26 Aug 11 at 18:19

  9. Haha, der beste Eintrag der Liste ist tatsächlich php.net imho. :)

    Fabian

    26 Aug 11 at 19:02

  10. @mermshaus
    >Die Leute hier nicht anonymisiert „anzuprangern“, >geht mir allerdings dann doch zu weit.

    grundsätzlich bin ich ja auch fürs anonymisiesren und für datanschutz, aber in diesem fall: wofür anonymisieren?

    die information über die versionen werden bei jedem request (plain text) übertragen und können von allen leuten (die sich die header anschaun) gelesen werden und sind somit public. im blog beitrag selbst steht die info wie man die serversignature abstellen kann.

    gutes firefox plugin das die serverinfos anzeigt: https://addons.mozilla.org/en-US/firefox/addon/server-spy/

    @fabian
    ja php.net ist wirklich ein genialer eintrag.

    c33s

    26 Aug 11 at 21:37

  11. Ich kann auch nicht verstehen warum so viele noch veraltete PHP Versionen einsetzen und die Hoster zu faul sind zum updaten. Deswegen habe ich mir einen Root Server geholt und mach dort regelmäßig selber Updates, da ich vorher auch einen Hoster gesucht habe der aktuelle PHP Versionen einsetzt, aber das gleicht einer Suche mit der Nadel im Heuhaufen.

    Jack

    27 Aug 11 at 13:15

  12. Ich sehe das ganze mal als Status Quo und vielleicht checkt Michael ja in einem Monat nochmal und man kann sehen, was sich geändert hat.

    Norbert

    29 Aug 11 at 10:02

  13. Bei den Kampfpreisen teilweise, wird sich wohl auch kein Support mit Warnings und deprecated Meldungen einer PHP 5.3.x der Kunden rumärgern müssen/wollen. 😉

    Warum das meist noch nicht mal optional angeboten wird ist mir aber auch schlicht schleierhaft. Wie Michael schon schrieb gibt es auch gratis Performance. Man kann nur hoffen das die Anforderungen verschiedenen Frameworks, Blogposts wie diese und in letzter Konsequenz auch Hacks irgendwann genug Druck erzeugen.

    Markus

    29 Aug 11 at 10:08

  14. Ihr müsst das auch mal von der Seite des Hosters sehen.
    Eine shared hosting Umgebung kann nicht so schnell wie ein isloierter Root server geändert und erweitert werden. Da gibt es Abhängigkeiten, alles muss auf den Serverfarmen integriert werden, es muss getestet werden, Webfrontends und Skripte müssen angepasst werden etc. etc.. Dies alles erfordert Planung und umsichtiges Vorgehen. Dies wiederum kostet Zeit und Manpower = Geld. Manchmal ist auch geschickter ein wenig abzuwarten wie sich neue Versionen so machen (siehe Upgrade 5.3.7) Darüber hinaus: Sicherheitslücken werden teilweise auch durch backports geschlossen. D.h. eine V4.x kann also trotzdem sicher sein und alte Apps bleiben kompatibel.

    unknown

    31 Aug 11 at 15:06

  15. @unknown: Wieviele Jahre dauert sowas denn? Mit „ein wenig abwarten“ und dass es Geld (Zeit+Manpower) kostet bin ich total einverstanden, aber dass auch nach mehr als 2 Jahren kein 5.3 auch nur alternativ verfügbar ist (Parallelbetrieb ist ja nichts neues für Hoster) ist schon komisch.

    PHP 5.3.0 ist vor über 2 Jahren erschienen. Klar wartet man eventuell einige Monate bevor man große Änderungen einführt, aber es sind ja mittlerweile Jahre. 5 Jahre später brauche ich 5.3 auch nicht mehr weil es dann schon 5.5 oder 6.0 gibt. So lange hinterher hängen ist im IT-Geschäft tödlich, und wir alle wissen dass es immer mehr Frameworks und Projekte gibt die 5.3 als Voraussetzung haben. 5.4 ist mittlerweile Alpha3 und könnte dieses Jahr noch erscheinen. So langsam sollte ein jeder Hoster mal fertig sein mit seiner Migration bzw. Ergänzung um 5.3
    Ansonsten lautet das Fazit: lieber zu einem etwas kleineren flexibleren Hoster wechseln der „nur“ einige Monate braucht für neue PHP Versionen, oder gleich selbst drum kümmern.

    Michael Kliewe

    31 Aug 11 at 15:19

  16. Ich bin für ne gute vHost-Lösung.
    Wenn man’s selbst macht und lokal noch eine VM zum Testen hat, kann man damit nicht viel falsch machen.

    Ich find’s gut, dass die neuen Frameworks jetzt mit so viel Druck auf die aktuelle PHP-Version drängen. Bin gespannt, wie das mit PHP 5.4 ausschaut. Einige Frameworks werden wahrscheinlich auch hier auf einige Features gewartet haben …

    Simon Schick

    1 Sep 11 at 16:03

  17. Es ist doch so das wie überall billig billig der König ist.Soll man sich nicht wundern wenn bei solchen Anbietern Asbach Versionen drauf ist

    Falke

    28 Sep 11 at 03:47

Leave a Reply

You can add images to your comment by clicking here.