Почему PHP считается небезопасным?

Навеяно: Почему почти все против php?

1 симпатия

Потому что люди не могут отличить плохих программистов от плохого языка.

PHP абсолютно безопасен, если вы знаете, что делаете. Проблема в том, что большинство разработчиков PHP являются самоучками, и пока они не поработают с кем-то, у кого больше опыта работы с приложениями, или не начнут копать самостоятельно, они не знают, почему то, что они делают, опасно.

Начиная с PHP 5.5, мы получили безопасное и простое хеширование паролей на основе bcrypt, а с PHP 7.2 у нас есть встроенная библиотека libsodium.

Чувствительные алгоритмы теперь внутренне запрограммированы на постоянное время, чтобы предотвратить временные атаки. Разработчикам PHP не нужно беспокоиться об этом, поскольку внутренняя команда сделала это за нас.

Пока разработчики знают, как использовать правильные функции, PHP настолько безопасен, насколько это необходимо. Нам просто нужно убедиться, что новые разработчики знают, как все делать правильно, и избавить Интернет от старых ужасных советов.

2 симпатии

Это считается небезопасным для людей, которые не позаботились проинформировать себя об изменениях PHP за последние 5–6 лет.

PHP - одна из тех технологий «эпохи золотой лихорадки», которые в прошлом обеспечивали масштабный исторический технологический прорыв.

Таким образом, он привлек миллионы разработчиков, от вечеров-самоучок до корпоративных разработчиков.

Более того, PHP родился как побочный проект для быстрого создания действенных и эффективных скриптов. Безопасность даже не была на радаре (точно так же, как не было для PERL и подобных «agé» языков).

Таким образом, PHP допускал плохие методы безопасности.

Функции очистки ввода были добавлены с 22 мая 2000 года, когда был выпущен PHP 4.

Параметрические запросы (то есть, затрудняющие атаки с использованием SQL-инъекций) были доступны до 24 ноября 2005 г. или ранее (PHP 5.1). Речь идет об учреждениях, созданных более чем за 1 десятилетие!

Там были инструменты для проверки правильности входных данных и защиты от большинства вторжений. Их «просто» нужно было использовать.

Тот факт, что PHP был настолько простым в изучении и привлекал необразованные массы, которые не имели представления о 101-й бэкэнд-безопасности, не является «ошибкой» PHP. Это в демографии тех, кто его выбрал.

На сегодняшний день PHP был изменен, чтобы усложнить выполнение плохих практик, и на сегодняшний день PHP нечего завидовать другим языкам.

2 симпатии