Насколько безопасный PHP?

Как и любой другой язык, PHP-код настолько безопасен, насколько его пишет программист.

Также, как и любой другой язык, индивидуальные (и даже общие) риски безопасности слишком многочисленны и подробны, чтобы включить в ответ StackOverflow.

Найдите книгу, которая посвящена безопасному кодированию PHP.

Что касается полей ввода данных, следует беспокоиться об атаках SQL-инъекций, переполнении, неправильных символах и т. Д. такие функции, как filter_var () , mysql_real_escape_string () , pg_escape_string () для начала.

PHP безопаснее всего. Но не по умолчанию, это зависит от навыков программиста. В отличие от .NET, который имеет тенденцию помогать с безопасностью по умолчанию.

Включения безопасны, просто будьте осторожны, если пути генерируются динамически.

Приведенное ниже безобидно (в зависимости от кода в myfile.php)

include("mypath/myfile.php");

Согласитесь со всеми здесь - PHP не является более или менее безопасным сам по себе, чем любой другой язык.

Вам следует внимательно изучить свой php.ini файл хотя. Вероятно, вам следует узнать обо всех директивах. Именно здесь многие люди делают ошибки на раннем этапе.

Чтобы ответить конкретно на вопрос, PHP как язык очень безопасен. Для самого языка рекомендуется использовать последнюю стабильную сборку, чтобы обеспечить максимальную безопасность на основе языка. Сопровождающие php создают и исправляют ошибки;)

Ваш вопрос довольно общий и общий, но чтобы ответить на конкретную мысль, которую вы отметили:

include (header.php);

относительно безопасен, но

include ($header);

потенциально опасен в безопасности, в зависимости от того, как $ header был назначен, и если он был продезинфицирован.

Процитирую RSnake из сообщения sla.ckers.org в 2006 году:

Я подумал, что интересно то, что Стефан Эссер ушел из группы реагирования на инциденты PHP. Не для того, чтобы начать религиозную войну на досках, но интересно, что основатель группы реагирования на безопасность PHP пресытился отсутствием безопасности в PHP и в результате ушел. Его сайт сейчас не работает (поток трафика?): [Blog.php-security.org] Итак, вот фрагмент кеша:

Суббота, 9 декабря 2006 г.

Прошлой ночью я наконец ушел на пенсию от группы реагирования на безопасность PHP, это изначально была моя идея несколько лет назад.

Причин для этого много, но наиболее важным является то, что я понял, что любые попытки улучшить безопасность PHP изнутри тщетны. Группа PHP бросится в вашу лодку, как только вы попытаетесь обвинить пользователя в проблемах безопасности PHP, но в тот момент, когда вы критикуете безопасность самого PHP, вы становитесь персоной нон грата. Я перестал считать, сколько раз меня называли аморальным предателем за обнаружение дыр в безопасности в PHP или за разработку Suhosin.

Для обычного пользователя PHP это означает, что я больше не буду скрывать медленное время отклика на дыры в безопасности в своих рекомендациях. Это также будет означать, что некоторые из моих рекомендаций будут приходить без доступных исправлений, потому что группа реагирования на безопасность PHP отказывалась исправлять их в течение нескольких месяцев. Это также будет означать, что будет гораздо больше рекомендаций о дырах в безопасности в PHP.

Автор: Стефан Эссер в PHP, Безопасность на 10: 58

Что ж, как бы страшно это ни звучало, я действительно рад, наконец, получить «реальную сделку» по безопасности PHP. Я всегда немного опасался этого, и мне будет интересно узнать, что скажет Стефан.

источник: http://sla.ckers.org/forum/read.php?2,3976

Которая прекрасно представляет проект Hardened PHP, Suhosin http://www.hardened-php.net/suhosin/ и проект Esser's Month of PHP Bugs http: //www.php- security.org/