Fix potential use-after-scope if crypt_r is used

Remove deprecated DES fallback in crypt()

Enforce min/max rounds in sha256/sha512 crypt

This brings our implementation in line with glibc behavior.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Handle *0 / *1 more consistently

Handle *0 / *1 more consistently

Avoid throwing a DES salt deprecation warning if the libc crypt
implementation is used.

Fix crypt_r detection

And force use of our own php_crypt_r implementation to keep
previous behavior despite that.

Properly initialize displaysize

From Microsoft's `SQLColAttribute()` documentation[1]:

| Please note that some drivers may only write the lower 32-bit or
| 16-bit of a buffer and leave the higher-order bit unchanged.
| Therefore, applications should initialize the value to 0 before
| calling this function.

[1] <https://docs.microsoft.com/en-us/sql/odbc/reference/syntax/sqlcolattribute-function>

Add ZEND_ACC_NO_DYNAMIC_PROPERTIES flag to SysvMessageQueue

Add flag to forbid dynamic property creation on internal classes

While performing resource -> object migrations, we're adding
defensive classes that are final, non-serializable and non-clonable
(unless they are, of course). This path adds a ZEND_ACC_NO_DYNAMIC_PROPERTIES
flag, that also forbids the creation of dynamic properties on these objects.
This is a subset of #3931 and targeted at internal usage only
(though may be extended to userland at some point in the future).

It's already possible to achieve this (what the removed
WeakRef/WeakMap code does), but there's some caveats: First, this
simple approach is only possible if the class has no declared
properties, otherwise it's necessary to special-case those
properties. Second, it's easy to make it overly strict, e.g. by
forbidding isset($obj->prop) as well. And finally, it requires a
lot of boilerplate code for each class.

Closes GH-5572.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fix potential environment variable deadlock

Fix potential environment variable deadlock

We have to unlock the environment before bailing out.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fix #69804: ::getStaticPropertyValue() throws on protected props

Fix #69804: ::getStaticPropertyValue() throws on protected props

`ReflectionClass` allows reading of the values of private and protected
constants, and also to get private and protected static methods.
Therefore getting the values of private and protected static properties
is also permissible, especially since `::getStaticProperties()` already
allows to do so.

We also allow ::setStaticPropertyValue() to modify private and
protected properties, because otherwise this method is useless, as
modifying public properties can be done directly.

Add test case for previous commit

Forgot to "git add".

Fix verify arg jit for references

Mark phpdbg test as XFAIL on Windows with JIT enabled

The test fails as of commit 8b12ea04ee405f746ca2394672f8372c57fd05b2.

Skip two curl tests under asan

These tests leak with the curl version on ubuntu 20.04. This should
be fixed when we switch exit to use an exception.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fix #79487: ::getStaticProperties() ignores property modifications

Fix #79487: ::getStaticProperties() ignores property modifications

When retrieving the static class properties via reflection, we have to
cater to possible modifications.

Include stub hash in generated arginfo files

The hash is used to check whether the arginfo file needs to be
regenerated. PHP-Parser will only be downloaded if this is actually
necessary.

This ensures that release artifacts will never try to regenerate
stubs and thus fetch PHP-Parser, as long as you do not modify any
files.

Closes GH-5739.

Increase failure threshold for 'extensive backtracking' fileinfo test

A spurious failure for this test was seen on Travis CI (S390X):

https://travis-ci.org/github/alexdowad/php-src/jobs/701533828

(The test is expected to finish within 1 second, but it took 1.06 seconds.)
Therefore, increase the threshold a bit.

Remove outdated PHPDoc from ext/enchant's stub

Improved JIT for RECV and RECV_INIT instructions

Use standard bool type in EXIF extension

Merge branch 'PHP-7.4'

* PHP-7.4:
  Revert "Fix #79487: ::getStaticProperties() ignores property modifications"

Revert "Fix #79487: ::getStaticProperties() ignores property modifications"

This reverts commit a895bb6885fbceea3e8375816969d5510d8d082e.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fix #79487: ::getStaticProperties() ignores property modifications

Fix #79487: ::getStaticProperties() ignores property modifications

When retrieving the static class properties via reflection, we have to
cater to possible modifications.

Deprecate the procedural API of ext/zip

Closes GH-5746

Replace exceptional code by side exit to VM

Cleanup and better register usage

Reduce amount of "cold" code generated for FETCH_OBJ_* instructions

Simplify `_crypt_extended_init_r`, and fix redundant initialization on Win32/Solaris

Looking at the history of this function, the original implementation had a bug where
it would return from the middle of the function without unlocking the mutex first.
The author attempted to fix this by incrementing the `initialized` flag atomically,
which is not necessary, since the section which modifies the flag is protected by a
mutex.

Coincidentally, at the same time that all this unnecessary 'atomic' machinery was
introduced, the code was also changed so that it didn't return without unlocking the
mutex. So it looks like the bug was fixed by accident.

It's not necessary to declare the flag as `volatile` either, since it is protected
by a mutex.

Further, the 'fixed' implementation was also wrong in another respect: on Windows
and Solaris, the `initialized` flag was not even declared as `static`!! So the
initialization of the static tables for S-boxes, P-boxes, etc. was repeated on
each call to `php_crypt`, completely defeating the purpose of this function.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fix #55857: ftp_size on large files

Merge branch 'PHP-7.3' into PHP-7.4

* PHP-7.3:
  Fix #55857: ftp_size on large files

Fix #55857: ftp_size on large files

`atol()` returns a `long` which is not the same as `zend_long` on
LLP64; we use `ZEND_ATOL()` instead.

There is no need for a new test case, since filesize_large.phpt already
tests for that behavior; unfortunately, the FTP test suite relies on
`pcntl_fork()` and therefore cannot be run on Windows.

Fix a couple of UNKNOWN default values in ext/session

Closes GH-5752

Remove unnecessary initialization in phpdbg webhelper

This whole code is very dubious and should possibly be dropped. For
now just fix the build warning.

Enable dba on azure

Closes GH-5756.

Fix UNKNOWN default values in ext/readline

Closes GH-5755

Improve JIT for SEPARATE_ARRAY

Fix missing initializers in dba inifile

Merge branch 'PHP-7.4'

* PHP-7.4:
  Restore XFAIL on fpm test

Avoid convert_to_long_ex usage in readline

Restore XFAIL on fpm test

Still fails intermittently.

Update azure pipelins to ubuntu 20.04

Only updating the main job for now, to see how it goes.

Closes GH-5741.

Improve spill code

Avoid register spilling

Merge branch 'PHP-7.4'

* PHP-7.4:
  7.3 is now 7.3.21-dev

Merge branch 'PHP-7.3' into PHP-7.4

* PHP-7.3:
  7.3 is now 7.3.21-dev

7.3 is now 7.3.21-dev

Merge branch 'PHP-7.4'

PHP-7.4 is now 7.4.9-dev

Fix test wrt. commit 1a2732f9a8b3d62471b360f772b5458f78046f80

Consistent file naming.

Use ZPP callable check for preg_replace_callback() $callback argument

Also allow casting CurlMultiHandles

Fixed JIT failures on Windows

Correct implementation of joaat hash.

Before this commit, the result produced by a joaat hash depended
on how the input data was chunked. A hash produced by multiple
`hash_update` operations was incorrect. For example, this code,
which should produce three identical lines:

    var_dump(hash("joaat", "abcd"));

    $hash = hash_init("joaat");
    hash_update($hash, "ab");
    hash_update($hash, "cd");
    var_dump(hash_final($hash));

    $hash = hash_init("joaat");
    hash_update($hash, "abc");
    hash_update($hash, "d");
    var_dump(hash_final($hash));

instead produced:

    string(8) "cd8b6206"
    string(8) "e590d137"
    string(8) "2d59d087"

This is because the finalization step, involving shift operations
and adds, was applied on every chunk, rather than once at the end
as is required by the hash definition.

After this commit, the code above produces:

    string(8) "cd8b6206"
    string(8) "cd8b6206"
    string(8) "cd8b6206"

as expected.

Some tests encoded the wrong behavior and were corrected.

Closes GH-5749

make bcpowmod stricter by not returning false, instead throw exception

Closes GH-5747

Haiku opcache jit build update

Merge branch 'PHP-7.4'

* PHP-7.4:
  SplHeap: Avoid memcpy on overlapping pointer

SplHeap: Avoid memcpy on overlapping pointer

Check if data would overlap and also add an assert. Previous
implementations didn't have this issue, as the direct assignment was
used.

Signed-off-by: Anatol Belski <ab@php.net>

sapi/fpm/config.m4: add a new --with-fpm-apparmor configure flag.

The existing AC_FPM_APPARMOR macro (which is always run when FPM is
enabled) checks for the existence of libapparmor, and adds it to $LIBS
if found. The result is an "automagic" dependency on libapparmor that
depends not only on the user's configuration, but also on the build
host's environment.

In particular, this can cause problems if the user just happens to
have libapparmor installed (for testing or development) when he builds
PHP. Later, he may remove libapparmor, not realizing that PHP depends
on it. At that point, FPM will cease to work due to the missing library.

This commit adds a new configure flag called "--with-fpm-apparmor",
defaulting to "no", that enables or disables the feature. The new flag
is used to signal the user's intent; whether or not he wants to use
AppArmor. If he does, then we still check for the existence and
usability of libapparmor; however, it is now an error for the library
to be missing when --with-fpm-apparmor is requested.

Gentoo-bug: https://bugs.gentoo.org/637402
PHP-bug: https://bugs.php.net/bug.php?id=75519

Mark failing tests as XFAIL for now

These test fail on Window since some recent changes to JIT; we mark
them as XFAIL until the issues are resolved.

Allow casting CurlHandle to int

(int) $curlHandle will return spl_object_id($curlHandle). This
makes curl handle objects backwards compatible with code using
(int) $curlHandle to obtain a resource ID.

Closes GH-5743.

Clean up some unused code (and fix some comments) in build scripts

- Fix typo in build/php.m4

- Nothing uses HAVE_INTTYPES_H; so remove check for header file

- Nothing defines ZEND_ACCONFIG_H_NO_C_PROTOS; so remove #ifndef

- `format_money` was removed in 2019, so <monetary.h> no longer needed

- Nothing uses HAVE_NETDB_H; so remove check for header file

- Nothing checks HAVE_TERMIOS_H; so remove check for header file

    (This was actually added when Wez Furlong was adding the original implementation of
    PTY support in `proc_open`, since replaced.)

- Nothing checks HAVE_SYS_AUXV_H; so remove check for header file

- PHP_BUILD_DATE variable is not used for anything, so remove it

    This variable was added to the Makefile, but from there, was not used for anything.
    The comments suggest it was intended to allow 'reproducible builds'. Presumably,
    this means that if a bug is found in a PHP binary somewhere, one could look at the
    Makefile which it was built from, see the date, and then could check the same
    code version out from source control. But... there can easily be multiple commits
    to the repo in the same day. Also, what makes us think that the Makefile which a
    binary was built from will be easily available?

    Besides, ext/standard/info.c already embeds the build date and time in each binary...
    but it does it using `__DATE__` and `__TIME__` (see `php_print_info`).

- Nothing checks HAVE_FINITE; so don't check for function

- Grammar fix to comment in build/php.m4

- Nothing sets $php_ldflags_add_usr_lib variable in configure, so remove conditional

    This was added in 2002, when Rasmus was having difficulty building PHP on some
    host and needed to have /usr/lib in the rpath. It was never documented and
    probably has never been used by anyone else.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fixed bug #79570

Merge branch 'PHP-7.3' into PHP-7.4

* PHP-7.3:
  Fixed bug #79570

Fixed bug #79570

Use the same logic for getgrgid_r, getpwnam_r and getpwuid_r
as for getgrnam_r in #75696

Closes GH-5740.

Fix Haiku build

getrusage supports only two fields. The network api sits in the network lib.

Closes GH-5732.

Return void from php_jpeg_emit_message()

Instead of returning long and then casting to void.

This fixes a build warning on Ubuntu 20.04.

Closes GH-5742.

JIT for FETCH_OBJ_W

Merge branch 'PHP-7.4'

* PHP-7.4:
  Fixed bug #79710

Merge branch 'PHP-7.3' into PHP-7.4

Fixed bug #79710

Make sure we don't use zresource after the stream has been destroyed.

Removing HTML Functionality from run-tests.php

As discussed on GH-5632, the HTML functionality does not appear
to be in active use. For HTML rendering of test results, it is
suggested to instead use the JUnit integration, in combination
with your favorite JUnit viewer.

Closes GH-5705.

Merge branch 'PHP-7.4'

Generate temporary config file when generating certificates

The putenv trick doesn't work on ZTS Windows, so generate a new
openssl config every time.

Forbid use of <?= as a semi-reserved identifier

One of the weirdest pieces of PHP code I've ever seen. In terms
of tokens, this gets internally translated to

    use x as y; echo as my_echo;

On master it crashes because this "echo" does not have attached
identifier metadata. Make sure it is added and then reject the
use of "<?=" as an identifier inside zend_lex_tstring.

Fixes oss-fuzz #23547.

MAY_BE_INDIRECT inference

Fix CLI test if linked against libedit

The error message changed here.

Merge branch 'PHP-7.4'

check for broken libzip versions

Closes GH-5738.

Update libzip on macos

We need libzip 1.7.1, because libzip 1.7.0 is broken.

Closes GH-5737.

Call zpp in enchant_broker_*_dict_path with libenchant-2

Even if the function is a dummy, we still need to call zpp to
comply with arginfo.

Use ZEND_TOSTRING_FUNC_NAME

Closes GH-5736.

Merge branch 'PHP-7.4'

Fix race condition in FPM tests

The newly de-XFAILed tests have a race condition. Make sure we
terminate only after expecting all the log lines.

Add reference to phpweb/bin/createReleaseEntry

Merge branch 'PHP-7.4'

Un-XFAIL FPM tests

These were XFAILed due to a bug in the log implementation that
caused intermittent failures. However, this issue is supposed to
be resolved in the meantime, so try dropping the XFAIL marker.

Merge branch 'PHP-7.4'

Downgrade server security level in security level test

We want to test the client side error here, so make sure the
server side can start up successfully.

Merge branch 'PHP-7.4'

Add SubjectAltName support to certificate generator

And switch tests using SAN certificates to the generator.

This is ugly, but there doesn't seem to be a more direct way
to privide SAN in PHP.

Merge branch 'PHP-7.4'

* PHP-7.4:
  Add missing NEWS entry

Add missing NEWS entry

I forgot to update NEWS after merging back then.

Downgrade security level in tests using TLS < 1.2

A few additional tests have been added on master that require
lower security level.

Merge branch 'PHP-7.4'