Una delle novità di PHP 7 sta sicuramente nell’implementazione di nuove funzionalità e in una velocità di esecuzione degli script due volte superiore rispetto alle versioni precedenti. Il medesimo server, aggiornato a questa versione, consentirà di servire un numero maggiore di richieste e di utenti e, grazie alla pulizia del linguaggio, sono state rimosse funzioni obsolete, deprecate e ormai insicure.
Uno dei motivi per cui ogni sviluppatore dovrebbe pensare seriamente ad un aggiornamento a PHP 7 è rappresentato dalla sicurezza, lo dimostrerebbero i bug fixing rilasciati a inizio anno. Nello specifico, la versione 7.0.2 porta con sé la correzione di 31 bug, di cui 6 relativi a alla sicurezza; la versione 5.6.17 corregge 14 bug, mentre la versione 5.5.31, che manterrà gli aggiornamenti in support mode fino a luglio 2016, corregge a sua volta 5 vulnerabilità.
Molti di questi aggiornamenti sono stati classificati a bassa priorità, mentre altri rappresentavano una vera e propria minaccia, potendo eseguire codice malevolo sfruttando un attacco di tipo heap buffer overflow, in cui l’attaccante può sovrascrivere una locazione di memoria arbitraria con quantità di dati relativamente piccole, fornendogli così il controllo sull'esecuzione del programma.
Altri bug riportati includevano un errore nella libreria grafica GD, che avrebbe permesso agli attaccanti di leggere rilevanti quantità di memoria contigua passando alla funzione ImageRotate() un array di numeri eccedenti il limite massimo, un memory leak nel funzionamento del FastCGI Process Manager e un rischio di remote code execution nel manager di WDDX, in quest'ultimo caso gli attaccanti avrebbero potuto creare delle tabelle hash fasulle.
E' quindi sempre consigliabile mantenere aggiornata la propria versione di PHP, anche considerando il fatto che PHP 5.4 non riceve più aggiornamenti e supporto da ottobre 2015 (versione 5.4.45) e che un sistema non aggiornato potrebbe significare lasciare le porte aperte ad eventuali attaccanti, nonché uno spreco di risorse e tempi di esecuzione non indifferenti.
Per aggiornamenti: PHP Bug Tracking System