网络应用中 PHP 被认为是最危险的编程语言,同不同意?

2019-05-18 01:57:21 +08:00
 autogen
网络应用中 PHP 被认为是最危险的编程语言,同不同意?

86% 的 PHP 应用程序至少包含一个跨站脚本( XSS )漏洞;

56% 的 PHP 应用程序至少包含一个 SQL 注入漏洞,著名的也是非常危险且易被利用的 web 应用漏洞之一;

67% 的 PHP 应用程序允许目录遍历;

61% 的 PHP 应用程序允许代码注入;

58% 的 PHP 应用程序在凭证管理方面有问题;

73% 的 PHP 应用程序存在加密问题;

50% 的 PHP 应用程序允许信息泄露。
7946 次点击
所在节点    PHP
67 条回复
tongyifan
2019-05-18 01:58:43 +08:00
那么,数据来源于?
bokchoys
2019-05-18 01:59:59 +08:00
不注意代码规范,都会如此吧?
autogen
2019-05-18 02:01:52 +08:00
@tongyifan Ref: Veracode. State of Software Security: Focus on Application Development
tongyifan
2019-05-18 02:06:45 +08:00
@autogen 去学习一下
wwww961h
2019-05-18 02:26:43 +08:00
很正常,因为写 PHP 的新手确实更多,但是你不能质疑 PHP 的安全性,因为安全性是相对的,只有用不好工具的人,没有不好的工具,况且还是世界上最流行的工具,没有之一
lzxgh621
2019-05-18 03:47:36 +08:00
想起 windows 是最不安全的系统言论
KasuganoSoras
2019-05-18 03:57:54 +08:00
不同意,没有不安全的编程语言,只有不会写代码的人。
照这个说法,Java Web 也不安全,前不久我给我朋友的一个 Java 写的网页管理系统做了一次安全测试,给我挖出一大堆 XSS、SQL 注入、CSRF 攻击,这能说明一个编程语言不安全吗?不能,只能说明写代码的人不够认真不够仔细。
PHP 提供了大量的方法用于预防 XSS、SQL 注入等等漏洞,例如 preg_match 正则表达式匹配,mysqli_real_escape_string 字符串转义防止注入等,因此只要掌握了这些函数的使用方法,合理搭配合理运用,完全不用担心自己写的东西会不安全。

另外,世界上没有绝对安全的系统,什么都可能有漏洞,只有不断去修复去填补。
KasuganoSoras
2019-05-18 04:05:39 +08:00
漏洞通常容易出现在:
1. 新人的作品
2. 中大型的项目
3. 闭源,自用的项目
新人作品有漏洞就不用说了,很正常的,刚学会一门编程语言,根本不懂得怎么做安全。
中大型项目一般都是由团队开发的,越大的项目越复杂,更容易出现漏洞、bug。
闭源的项目一般都是“能跑就行”,不太会追求代码整洁,同时缺少社区的支持和维护,隐藏的漏洞一般比较多。
crab
2019-05-18 04:08:47 +08:00
和语言无关,往前十几年那会 ASP 写的网站论坛商城拿个明小子都能扫出注入等等漏洞。
Bramblex2
2019-05-18 06:59:06 +08:00
php 容易出安全问题不是因为 php 烂(虽然 php 真的很烂),是因为 php 门槛低,php 程序员的平均水平低,以及 php 市场占有率极高。
zjsxwc
2019-05-18 07:29:57 +08:00
10 年前的言论
opengps
2019-05-18 07:35:59 +08:00
安不安全取决于防御能力,php 很多流行框架确实有缺陷,却被用作底层。
说说我网站,没用任何框架代码,几乎全程手写,所以也就没留下通用型的注入规则,至少想渗透入侵我网站不能用那些成品渗透工具,这也算一种防御,无招胜有招的那种
RobertYang
2019-05-18 07:36:23 +08:00
这个因素应该受不安全的人影响更大吧
samondlee
2019-05-18 07:37:08 +08:00
原来说 ASP 是最危险的语言
KgM4gLtF0shViDH3
2019-05-18 07:38:38 +08:00
黑 php 的新姿势
dsnake1984
2019-05-18 08:01:28 +08:00
要不要我用 java 写出上述漏洞~
qce7
2019-05-18 08:20:13 +08:00
编程语言分两种:1.有一大堆缺点的 2.没人用的
qce7
2019-05-18 08:24:50 +08:00
@opengps 对于新手还有经验不足的人,手写不如用成熟的开源框架
telun
2019-05-18 08:30:22 +08:00
根据这个标准,那 windows 是最容易中病毒的操作系统
polymerdg
2019-05-18 08:47:49 +08:00
XSS 不是前端的祸么 ?
这锅 PHP 也得背?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/565243

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX