PHP周刊2026W22 | WordPress 7.0发布、Laravel 13.10.0、Polyfill 1.38.1、Symfony 8.1

Polyfill 1.38.1是一个安全发布版本，修复了symfony/polyfill-intl-idn中的一个漏洞。所有使用该polyfill的用户（直接或间接通过symfony/polyfill）应尽快升级。该版本还捆绑了Mbstring、Grapheme和cURL/MySQL相关的一些正确性修复。

2026年5月18–24日——Symfony一周回顾 #1012

本周，Symfony发布了36个安全公告，并发布了安全版本5.4.52、6.4.40、7.4.12、8.0.12、8.1.0 BETA3和Twig 3.26.0。

Frontend Nation 2026回归：6月3-4日，Laravel入选阵容

Frontend Nation 2026将于6月3-4日回归，带来两天的免费在线演讲、小组讨论和研讨会，涵盖Web开发和AI领域的热点内容。Laravel与React、Vue.js、Angular、Next.js、Nuxt、Vite、Inertia等一起被列入框架阵容。

🎙 播客

Stack Overflow播客：你有能力在生产环境中运行AI吗？

在HumanX大会现场，Ryan Donovan与CoreWeave联合创始人兼CTO Peter Salanki一起探讨了在生产环境中运行AI真正需要什么；可观测性、利用率和调度的重要性日益增加；以及Peter关于避免过早过度架构设计的建议。

No Compromises播客：你的代码库不是旧代码博物馆

在最新一期的No Compromises播客中，我们讨论了为什么保留死代码会拖慢整个团队的速度。

North Meets South播客：Laracon AU征文、开发者叙事与观众互动

Michael分享了组织Laracon AU 2026背后的幕后情况，包括新的基于委员会的CFP评审流程、为管理演讲提交而构建的工具，以及AI辅助工作流如何帮助制定最终的会议日程。

Software Engineering Radio：SE Radio 721——Rob Moffat谈风险优先软件开发

在本期节目中，《Risk-First Software Development》作者、FinTech Open Source Software Foundation (FINOS)首席技术架构师Rob Moffat与主持人Brijesh Ammanath探讨了软件开发的本质实际上是风险管理这一话题。

Developer Tea：练习对高级工程师来说不够——适应能力是AI优先行业的关键技能

如果你现在是一名软件工程师，你可能会觉得你的世界在一夜之间发生了变化。我们编写的代码量只有一年前的一半或更少，这代表了我们行业一次地震般的、突破性的转变。

Shoptalk Show：Google I/O 2026回顾特辑

我们正在梳理Google为Web带来的新内容，并判断今年是Web开发者的圣诞礼物还是AI末日。

WP Builds：469——Lovekesh Kumar介绍WPM包管理器

Nathan Wrigley采访了rtCamp的WordPress工程师Lovekesh Kumar，介绍WPM——一个用于WordPress插件和主题的新型、安全的、基于Go语言的包管理器。

Laravel播客：与市场营销副总裁Cynthia McGillis谈开发者工具营销

在本期节目中，Matt Stauffer与Cynthia McGillis一起讨论了她从英语专业和非营利组织筹款人，到领导Laravel市场营销的不寻常职业道路。

Mostly Technical：133——与Jesse Hanley一起做最困难的事

Aaron本周邀请到Bento创始人Jesse Hanley，讨论了如何建立一个七位数的业务、为什么他现在的压力比刚开始时更小、从Heroku迁移到Planetscale等话题。

Syntax：在Agentmaxxing之前要锁定8个技术选择

Wes和Scott讨论了使AI辅助编码真正发挥作用的基础决策——数据库模式、验证、路由、CSS结构等。

📰 阅读

一次隐蔽WP注入的解剖：我如何通过4层混淆代码追踪一个零日漏洞

高流量电商商店和企业级WordPress部署很少面临喧闹的篡改攻击。相反，它们面临的是噩梦般的场景：一次静默入侵。

我的Docker配置如何救我于供应链攻击（以及为什么你也应该这样做）

终于到周五了！你下班回家开始做自己的副项目。你打开电脑，运行composer update来保持依赖项最新。

有人投毒了Laravel最受信任的包——233个版本，700个仓库

2026年5月22日，一名攻击者只在键盘上花了整整15分钟。当他们完成时，233个广泛使用的PHP包的版本已被静默替换为窃取凭证的恶意软件。

为什么`mixed`是你PHP代码库中最糟糕的类型（以及如何消灭它）

我上个月交谈的一个团队在其Laravel 11代码库中有1400个mixed返回类型。PHPStan级别6是绿色的。测试通过了。一名初级开发者重构了一个辅助函数，随后三个控制器在预发布环境中开始返回HTTP 500错误。没有任何工具标记这个问题。没有任何工具能够标记。

别泄露用户数据：掌握Laravel Octane状态管理

几十年来，PHP最大的架构优势一直是其无共享架构。请求进来，框架启动，查询数据库，发送响应，然后整个PHP进程终止。

使用私有Symfony Recipes

我厌倦了在每个Symfony项目中设置相同的东西。相同的配置。相同的服务。相同的那些不难但会累积的小胶水代码。Symfony recipes解决了很多问题。直到你需要自己的recipes。

Symfony 8.1：真正重要的技术拆解

更少的抽象，更少的样板代码，更好的性能——最新版本对发布真实应用的PHP开发者意味着什么。

AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念，把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起，为开发者提供从开发、训练到部署的一站式体验。

更多推荐

YOLOv11【第五章：数据工程与增强篇·第7节】自动标注（Auto-Labeling）：利用YOLOv11预训练模型辅助半监督标注！

AtomGit开源社区

PPOCRLabel工具免安装环境免下模型下载后解压即用windows版

本工具是一款免安装、免配置的PPOCRLabel标注工具，专为Windows系统打包。无需安装Python环境无需手动下载PaddleOCR模型无需NVIDIA显卡（CPU版本）解压后双击即可使用内置PaddleOCR 3.0.2 + PaddlePaddle 3.0.0PPOCRLabel是PaddleOCR官方推出的半自动图形标注工具，内置OCR模型可以自动检测和识别图片中的文字，你只需要检查