作者alpe (薛丁格的猫)
看板PHP
标题Re: [讨论] PHP是个漏洞多且不安全的後端语言?
时间Thu May 7 17:53:05 2020
※ 引述《red0whale (red whale)》之铭言:
: 标题: [讨论] PHP是个漏洞多且不安全的後端语言?
: 时间: Thu May 7 11:30:19 2020
:
: 昨天我的资料库老师说
: PHP是一个漏洞相当多、非常不安全
: 而且是外面业界鲜少在使用的後端程式语言
: 他还说PHP只是给学生在用的程式语言
我爱跟老师抬杠... 不认同也是会不客气的,只不过後果自负。
: 而他建议我们做网页後端最好使用像C#或Java之类的需要编译过後才能使用的「编译语言
: 而非使用像PHP这种「直译语言」
: 原因之一在於PHP是以明文储存程式码
: 在外面业界如果使用明文丢後端程式语言给其他人,早就造成安全上的漏洞了
编译语 vs 直译语言 不是要开始战效能吗?战安全性搞错了吧?
安全性是看写程式的头脑,ASP的网站安全性有好吗?
啥 Linux/Mysql/postgresql 都是 Open Source Code的.
安全漏洞有比 win 多?
: 所以非常不建议使用PHP作为网页後端的程式语言
: 用PHP连後端资料库是非常危险的
: 原因也是因为直译式的关系
: 如果用PHP的话,资料库的帐号密码之类的也很容易外露造成资安漏洞
所以编译就看不到? 妈呀什麽神逻辑!
再说不管那个很多时候 db account & pw 根本是写在 config 或环境变数
根本不在主程式里.
: 所以他说在外面业界几乎很少有人会使用像PHP这种直译式程式语言作为网页後端的程式
: 也非常不建议使用PHP,因为它本身的漏洞实在太多,且相当不安全
外面业界是吧. 104开一下打 php / java 进去看看, 工作了13+年还
不知道有这回事呢
: 对於PHP不安全、漏洞多有没有什麽能够补救的办法?
在上资料库那总有资讯安全相关课程吧,软体安全流程之类的看看吧
java, c# 写成垃圾的也很多
: 顺带一提,我也有想过,像Facebook、Wikipedia 之类的大网站不也是使用PHP作为其中
: 虽然昨天也有跟老师讨论到这个
: 不过老师是跟我说,那些大网站使用PHP也只是用来做显示前端的一些部分
: 真正使用後端像是连资料库之类的根本不可能使用PHP来写
: 他说如果他们用PHP做後端的话是相当不安全、风险很高的作法
这是上世纪的想法了吧... 的确PHP原始是打算做前端的,後端
是要用C写... ... 美丽的意外後就变成这样了。
过去5~7年 前端呈现都变成 javascript 的天下了,很多时候 phper
写出来的东西连 html tag 都看不到.
: --
:
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.44.4.100 (台湾)
: ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1588822221.A.F9A.html
: 推 alpe: 呵呵呵~ 你说你也用好几年了打脸你老师不难吧 05/07 11:42
:
: 其实当下我也不知道该怎麽反驳老师
: 也不敢直接去“打脸”老师(毕竟他是我的老师,而且也怕再吵下去可能不会有什麽好下
: 场)
所以台湾学术界死老头特别多
: 不过PHP真的有像他讲的这麽不安全、漏洞超多,且是个不适合出社会在业界写後端程式码
: 的语言吗?(疑惑)
软体工程安全篇~
:
: → ddoll288: BufferUnderRun vs stackOverFlow 嘻嘻 05/07 11:46
: 推 swallowcc: 通常写出烂扣弄出漏洞的都是人啊 XD 不敢说语言本身绝 05/07 11:46
: → swallowcc: 对完美无缺,但在那之前开发者要自己守好本份 05/07 11:46
: 推 swallowcc: 认真说的话,我是觉得这老师对 PHP 有成见吧 ._." 05/07 11:48
: → ddoll288: 我常看到java写的API吐NULL出来呢 05/07 11:51
: 推 newton2009: 那个人根本就想让你帮他改code吧... 扯到程式语言不 05/07 13:16
: → newton2009: 知是何居心... 05/07 13:16
: 嘘 tsao1211: 这老师水准太低了 05/07 13:24
: → tyh11: 赶快换老师 05/07 14:30
: → tkdmaf: 你问他:那为什麽你会在这当老师? 05/07 14:55
:
:
: 当下听到老师讲的这些话,我一开始也信以为真的认为PHP是个漏洞很多、
: 且官方也没再继续维护的後端程式语言
年初都在规划 PHP 8.0 预计年底要 release. 没在维护?
老师不是无所不知的,很多老师是混蛋!
: 老师的意思好像是说「编译程式」可以做成类似接口的形式
: 把编译好的二进制档案提供给别人继续使用及维护,但别人仍然看不到原先编译前的明码
: 不知道老师的意思是不是这样…
: 还是说丢给公司的程式可以弄成编译好的形式,别人也无法偷窥里面的程式码内容?
这个资安没有关系. 最多就是商业机密/价值.
--
Exactly. For that one fraction of a second, you were open to options
you had never considered. THAT is the exploration that awaits you:
not mapping stars and studying nebulae,but
charting the unknown possibilities of existence.
Star Trek S7E26 "All Good Thing"
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.165.80.153 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1588845194.A.00C.html
1F:推 takumi412: 我看过某上市公司内部ERP把SQL string写在html input 05/08 09:45
2F:→ takumi412: tag 的惊世之举... 05/08 09:46
3F:→ MOONRAKER: 我也看过超棒的 而且是在某网站新闻看到的 是同一个吗 05/08 15:07
4F:→ alpe: 古早年代什麽鬼事都会发生. 虽然说现在也还是有 05/08 19:21
5F:→ MOONRAKER: 不超过五年。 05/09 14:21
6F:→ MOONRAKER: 不过在以前和现在的公司都碰过懒鬼programmer写「忘记 05/09 14:22
7F:→ MOONRAKER: 密码」功能之类的验证直接把明码写在javascript里面... 05/09 14:23
8F:推 Refauth: 真的假的啊楼上XD 05/09 23:26
9F:→ MOONRAKER: 真的! 05/10 13:11
10F:→ MOONRAKER: 也不是忘记密码,应该就是简易活动网页的密码验证 05/10 13:11
11F:→ MOONRAKER: 还沿用好几版没人发现 讲这麽多应该猜得出来什麽公司了 05/10 13:13
12F:→ laechan: 我念的大学,听说还在教 c, 最简单的那种 05/12 09:56
14F:→ laechan: 好歹教个python或php脚本.. 05/12 10:12
15F:推 swallowcc: 教C先吓吓他, 撑不住的就会觉得自己不适合写扣 (误 05/12 11:03
16F:→ MOONRAKER: C语言不是没发展,要学好也绝对不简单。我现在绝对不想 05/12 11:28
17F:→ MOONRAKER: 回去写C程式。C的问题是很多老师一套东西教20年不变 05/12 11:30
18F:→ MOONRAKER: 或者沈迷在 a *= a-- * ++b 这种「动物奇观」当中 05/12 11:36