加强 PQescapeString 及相关函数对无效编码输入字符串的防护 （Andres Freund，Noah Misch） § § § § § §

libpq 提供的数据引用函数现在会完全检查其输入的编码有效性。如果检测到无效字符，会尽可能报告错误。对于缺少错误返回机制的函数，输出字符串会被调整以确保服务器会报告无效编码，并且中间处理不会被恰好匹配单引号、反斜杠等的字节所欺骗。

此变更的目的是防范在使用这些函数对精心构造的输入进行引用时可能发生的 SQL 注入攻击。当结果字符串直接发送到 PostgreSQL 服务器时没有风险（服务器无论如何都会检查编码），但当它通过 psql 或其他客户端代码传递时存在风险。历史上此类代码未仔细审查编码，在许多情况下如果检测到此类问题也不清楚应该怎么做。

此修复仅在数据引用函数、服务器以及任何中间处理对所使用的字符编码达成一致时才有效。插入不可信输入到 SQL 命令中的应用程序应特别注意确保这一点。

不使用这些 libpq 函数而引用不可信输入的应用程序和驱动程序可能面临类似问题的风险。它们应首先确认数据在服务器期望的编码中是有效的。

PostgreSQL 项目感谢 Stephen Fewer 报告此问题。 （CVE-2025-1094）

将并行工作进程排除在连接权限检查和限制之外 （Tom Lane） §

启动并行工作进程时不再检查 datallowconn、rolcanlogin 和 ACL_CONNECT 权限，而是假定领导进程最初通过了类似检查就足够了。这避免了例如当领导进程以缺少登录权限的角色运行时，并行化查询出现意外失败的情况。同样，ReservedConnections、datconnlimit 和 rolconnlimit 限制仅对普通后端执行，且仅计算普通后端的数量来检查是否已达到限制。这些限制旨在防止普通后端过度占用进程槽位——而并行工作进程和其他特殊进程有自己的进程槽池和自己的限制检查。

保持 TransactionXmin 与 MyProc->xmin 同步 （Heikki Linnakangas） §

此疏忽可能允许进程尝试访问已被清理掉的数据。一个已知的后果是出现临时性的 “could not access status of transaction” 错误。

修复可能导致无法将新插入的目录条目添加到目录缓存列表中的竞态条件 （Heikki Linnakangas） §

例如，这可能导致在现有会话中无法使用新创建的函数。

防止在系统目录被并发更新时进行 vacuum 可能导致的目录损坏 （Noah Misch） §

修复关系截断失败时的数据损坏问题 （Thomas Munro） § § §

执行关系截断所需的文件系统调用可能会失败，导致磁盘上留下不一致的状态（例如，实际上恢复了已删除的数据）。我们无法真正阻止这种情况，但可以通过将此类失败提升为 PANIC 来进行恢复，这样可以通过从 WAL 重放到尝试截断之前来恢复一致性。这并不是一个非常理想的行为，但由于此类失败足够罕见，因此似乎是一个可以接受的解决方案。

防止在关系截断期间启动检查点 （Robert Haas） §

这避免了一种竞态条件，即修改后的文件可能在完成检查点之前未被 fsync，从而在操作系统崩溃后不久产生数据损坏的风险。

使用 rename() 而非 link()/unlink() 来重命名文件 （Nathan Bossart） §

之前的代码旨在确保操作不会意外覆盖现有文件。然而失败可能导致同一文件存在两个链接，混淆后续操作并产生数据损坏风险。实际上我们不会在目标文件名可能已经存在的地方使用此功能，因此放弃不可覆盖的保证以消除多链接隐患似乎更好。

避免在 VACUUM 与更改该数据库所有者的 REASSIGN OWNED 并发运行时可能丢失 pg_database.datfrozenxid 更新 （Kirill Reshke） §

修复传递给 AFTER UPDATE 触发器的不正确 tg_updatedcols 值 （Tom Lane） §

在某些情况下，tg_updatedcols 位图可能描述的是同一事务中较早命令更新的列集合，从而导致触发器做出错误的操作。

同时，防止由于制作过多 tg_updatedcols 位图副本而导致的内存膨胀。

修复 to_timestamp 的 FFn 格式代码的错误处理 （Tom Lane） §

紧接在 FFn 之前的整数格式代码会消耗所有可用数字，导致 FFn 没有剩余数字可用。

在反解析 XMLTABLE() 表达式时，确保必要时对 XML 命名空间名称进行双引号引用 （Dean Rasheed） §

在 pg_hba_file_rules() 输出中包含 ldapscheme 选项 （Laurenz Albe） § §

当列排序规则不一致时不合并 UNION 操作 （Tom Lane） §

之前在判断是否可以安全地将 UNION 步骤合并为单个 N 路 UNION 操作时忽略了排序规则。在引入非确定性排序规则之前这可能是合理的，但现在不再如此，因为使用中的排序规则可以影响唯一性的定义。

修复分区裁剪步骤中遗漏的表达式处理 （Tom Lane） §

此疏忽可能导致在访问分区表的查询中出现 “unrecognized node type” 错误以及其他可能的问题。

允许 dshash 表增长超过 1GB （Matthias van de Meent） §

这避免了诸如 “invalid DSA memory alloc request size” 之类的错误。例如，在处理数百万个表的事务中可能会出现这种情况。

避免 bringetbitmap() 中可能的整数溢出 （James Hunter，Evgeniy Gorbanyov） §

由于结果仅用于统计目的，此错误的影响大多是修饰性的。

防止流复制备库在读取跨页的 WAL 记录时无限循环 （Kyotaro Horiguchi，Alexander Kukushkin） §

当记录的后续部分位于需要从不同 WAL 源读取的页面上时会发生此问题。

改进存在大量状态文件时归档进程的性能 （Nathan Bossart） §

此变更回移了最初在 v15 中进行的修复，以回应归档性能极差导致停机或副本丢失的报告。

修复在进程早期启动阶段 FATAL 错误被意外提升为 PANIC 的问题 （Noah Misch） §

这修复了一些不太可能发生的情况，这些情况会导致 “PANIC: proc_exit() called in child process”。

修复操作符族成员操作符或支持过程可能成为悬空引用的情况 （Tom Lane） § §

在某些情况下，数据类型可能在其 OID 引用仍然存在于 pg_amop 或 pg_amproc 中时被删除。虽然这不会立即造成问题，但尝试删除所属操作符族会失败，并且 pg_dump 在导出该操作符族时会产生错误的输出。此修复使操作符族/类的创建和修改添加必要的依赖条目，以便删除数据类型时也会删除任何依赖的操作符族元素。但这对已存在的有问题的操作符族没有帮助，因此还在 DROP OPERATOR FAMILY 中增加了一个应急措施，以防止在删除具有悬空成员的族时失败。

修复逻辑解码输出中的多个内存泄漏 （Vignesh C，Masahiko Sawada，Boyu Yang） § §

避免因缺少对 malloc() 返回失败的检查而在内存不足时可能出现的低概率崩溃 （Karina Litskevich） §

避免在测试 wal_skip_threshold 条件时的整数溢出 （Tom Lane） §

创建非常大的关系的事务可能会错误地决定通过将关系复制到 WAL 而非 fsync 来确保持久性，从而否定了 wal_skip_threshold 的意义。（这仅在 wal_level 设置为 minimal 时才有影响，否则无论如何都需要 WAL 复制。）

修复缓存查找期间不安全的操作顺序 （Noah Misch） §

唯一已知的后果是在 GRANT TABLESPACE 期间出现通常无害的 “you don't own a lock of type ExclusiveLock” 警告。

修复在较旧 ARM 平台上使用 JIT 时可能出现的 “failed to resolve name” 失败 （Thomas Munro） §

这可能是由于 gcc 和 clang 之间对 -moutline-atomics 默认设置不一致导致的。至少已知 Debian 和 Ubuntu 提供了针对 armv8-a 的 gcc 和 clang 编译器，但它们在默认使用 outline atomics 方面存在差异。

修复非 PostgreSQL 来源的 Windows 联接点的处理 （Thomas Munro） § §

之前，如果数据目录的路径包含扩展后不是“驱动器绝对路径”格式的联接点，或者其扩展指向另一个联接点，initdb 会失败。

修复 WITH RECURSIVE ... UNION 查询中的断言失败 （David Rowley） §

避免在集合操作叶查询包含集合操作时规则反解析中的断言失败 （Man Zeng，Tom Lane） §

避免并行查询启动时的边界情况断言失败 （Tom Lane） §

在 NULLIF() 中，避免将可读写的扩展对象指针传递给数据类型的等值函数 （Tom Lane） §

如果给定可读写指针，等值函数可能会修改或删除该对象，如果我们随后决定将其作为 NULLIF() 的结果返回，这将是有问题的。对于任何内置等值函数可能没有问题，但用 PL/pgSQL 编写的函数很容易展示出故障。

确保对 INSERT 中默认空值的表达式预处理被正确应用 （Tom Lane） §

如果目标列是域类型，规划器必须插入一个强制转换到域的步骤而不仅仅是一个空常量，而此表达式遗漏了一些必要的处理步骤。对于基于核心数据类型的域没有已知后果，但理论上对于基于扩展类型的域可能会出错。

修复 PL/Python 中的内存泄漏 （Mat Arye，Tom Lane） §

重复使用 PLyPlan.execute 或 plpy.cursor 会导致在调用 PL/Python 函数的持续时间内产生内存泄漏。

修复 PL/Tcl 使其能在 Tcl 9 下编译 （Peter Eisentraut） §

在 ecpg 预处理器中，修复引用超出作用域变量的游标可能被错误处理的问题 （Tom Lane） §

在 ecpg 中，修复关于不支持使用 COPY ... FROM STDIN 的编译时警告 （Ryo Kanbayashi） §

之前，由于拼写错误，预期的警告未被发出。

修复 psql 以安全处理以 SJIS 编码的文件路径名 （Tom Lane） §

SJIS 中的一些双字节字符的第二个字节等于 ASCII 反斜杠（\）。这些字符会被路径名规范化所损坏，导致无法访问名称中包含此类字符的文件。

修复 pgbench 和 psql 中使用错误版本的 pqsignal() 的问题 （Fujii Masao，Tom Lane） §

此错误可能导致在 pgbench 中使用 -T 选项或在 psql 中使用 \watch 命令时出现异常行为，原因是被中断的系统调用未能按预期恢复。

修复 pgbench 中某些嵌套 \if 构造的错误执行 （Michail Nikolaev） §

出现在为假（未执行）的 \if 分支中的 \if 命令被错误地当作 \elif 处理。

在 pgbench 中，修复表初始化期间进度消息可能显示错误的问题 （Yushi Ogiwara，Tatsuo Ishii，Fujii Masao） § §

增强 pg_controldata 对损坏的 pg_control 文件的健壮性 （Ilyasov Ian，Anton Voloshin） §

由于 pg_controldata 即使在 CRC 检查失败时也会尝试打印 pg_control 的内容，因此必须注意不要因无效字段值而出现异常行为。此补丁修复了无效时间戳和看似为负数的 WAL 段大小触发的一些问题。

修复 pg_dump 中当身份序列附加到作为扩展成员的表时可能崩溃的问题 （Tom Lane） §

修复 pg_basebackup 以正确处理 Windows 上超过 2GB 的 pg_wal.tar 文件 （Davinder Singh，Thomas Munro） § §

更新确定访问 ARM CRC 指令所需编译器开关的配置探测 （Tom Lane） §

在基线 CPU 目标缺少 CRC 指令的 ARM 平台上，我们需要提供 -march 开关来说服编译器编译此类指令。较新版本的 gcc 会拒绝我们尝试使用的值，导致静默回退到软件 CRC。

在 configure 期间，如果检测到 C23 编译器，尝试请求 C17 （Thomas Munro） §

v16 之前的 PostgreSQL 版本无法在 C23 规则下编译。如果所选编译器默认使用 C23 或更高版本，尝试添加 -std=gnu17 开关来更改此行为。（如果这对你的编译器不起作用，请手动指定带有合适开关的 CFLAGS。）

更新时区数据文件至 tzdata 2025a 版本，包含巴拉圭的夏令时法律变更以及菲律宾的历史修正 （Tom Lane） §