这是一个创建于 1998 天前的主题,其中的信息可能已经有所发展或是发生改变。
网络应用中 PHP 被认为是最危险的编程语言,同不同意?
86% 的 PHP 应用程序至少包含一个跨站脚本( XSS )漏洞;
56% 的 PHP 应用程序至少包含一个 SQL 注入漏洞,著名的也是非常危险且易被利用的 web 应用漏洞之一;
67% 的 PHP 应用程序允许目录遍历;
61% 的 PHP 应用程序允许代码注入;
58% 的 PHP 应用程序在凭证管理方面有问题;
73% 的 PHP 应用程序存在加密问题;
50% 的 PHP 应用程序允许信息泄露。
86% 的 PHP 应用程序至少包含一个跨站脚本( XSS )漏洞;
56% 的 PHP 应用程序至少包含一个 SQL 注入漏洞,著名的也是非常危险且易被利用的 web 应用漏洞之一;
67% 的 PHP 应用程序允许目录遍历;
61% 的 PHP 应用程序允许代码注入;
58% 的 PHP 应用程序在凭证管理方面有问题;
73% 的 PHP 应用程序存在加密问题;
50% 的 PHP 应用程序允许信息泄露。
 |
1
tongyifan 2019-05-18 01:58:43 +08:00 via Android  11
那么,数据来源于?
|
 |
2
bokchoys 2019-05-18 01:59:59 +08:00 via iPhone
不注意代码规范,都会如此吧?
|
 |
3
autogen OP @tongyifan Ref: Veracode. State of Software Security: Focus on Application Development
|
 |
5
wwww961h 2019-05-18 02:26:43 +08:00 1
很正常,因为写 PHP 的新手确实更多,但是你不能质疑 PHP 的安全性,因为安全性是相对的,只有用不好工具的人,没有不好的工具,况且还是世界上最流行的工具,没有之一
|
 |
6
lzxgh621 2019-05-18 03:47:36 +08:00 via Android 4
想起 windows 是最不安全的系统言论
|
 |
7
KasuganoSoras 2019-05-18 03:57:54 +08:00 3
不同意,没有不安全的编程语言,只有不会写代码的人。
照这个说法,Java Web 也不安全,前不久我给我朋友的一个 Java 写的网页管理系统做了一次安全测试,给我挖出一大堆 XSS、SQL 注入、CSRF 攻击,这能说明一个编程语言不安全吗?不能,只能说明写代码的人不够认真不够仔细。 PHP 提供了大量的方法用于预防 XSS、SQL 注入等等漏洞,例如 preg_match 正则表达式匹配,mysqli_real_escape_string 字符串转义防止注入等,因此只要掌握了这些函数的使用方法,合理搭配合理运用,完全不用担心自己写的东西会不安全。 另外,世界上没有绝对安全的系统,什么都可能有漏洞,只有不断去修复去填补。 |
|
8
KasuganoSoras 2019-05-18 04:05:39 +08:00
漏洞通常容易出现在:
1. 新人的作品 2. 中大型的项目 3. 闭源,自用的项目 新人作品有漏洞就不用说了,很正常的,刚学会一门编程语言,根本不懂得怎么做安全。 中大型项目一般都是由团队开发的,越大的项目越复杂,更容易出现漏洞、bug。 闭源的项目一般都是“能跑就行”,不太会追求代码整洁,同时缺少社区的支持和维护,隐藏的漏洞一般比较多。 |
 |
9
crab 2019-05-18 04:08:47 +08:00
和语言无关,往前十几年那会 ASP 写的网站论坛商城拿个明小子都能扫出注入等等漏洞。
|
 |
10
Bramblex2 2019-05-18 06:59:06 +08:00
php 容易出安全问题不是因为 php 烂(虽然 php 真的很烂),是因为 php 门槛低,php 程序员的平均水平低,以及 php 市场占有率极高。
|
 |
11
zjsxwc 2019-05-18 07:29:57 +08:00 via Android
10 年前的言论
|
 |
12
opengps 2019-05-18 07:35:59 +08:00 via Android 1
安不安全取决于防御能力,php 很多流行框架确实有缺陷,却被用作底层。
说说我网站,没用任何框架代码,几乎全程手写,所以也就没留下通用型的注入规则,至少想渗透入侵我网站不能用那些成品渗透工具,这也算一种防御,无招胜有招的那种 |
 |
13
RobertYang 2019-05-18 07:36:23 +08:00 via Android
这个因素应该受不安全的人影响更大吧
|
 |
14
samondlee 2019-05-18 07:37:08 +08:00
原来说 ASP 是最危险的语言
|
 |
15
KgM4gLtF0shViDH3 2019-05-18 07:38:38 +08:00 via iPhone
黑 php 的新姿势
|
 |
16
dsnake1984 2019-05-18 08:01:28 +08:00
要不要我用 java 写出上述漏洞~
|
 |
17
qce7 2019-05-18 08:20:13 +08:00
编程语言分两种:1.有一大堆缺点的 2.没人用的
|
 |
19
telun 2019-05-18 08:30:22 +08:00 via iPhone
根据这个标准,那 windows 是最容易中病毒的操作系统
|
 |
20
polymerdg 2019-05-18 08:47:49 +08:00
XSS 不是前端的祸么 ?
这锅 PHP 也得背? |
 |
21
azoon 2019-05-18 09:00:57 +08:00
侧面反映 PHP 多人用
|
 |
22
liuxu 2019-05-18 09:05:44 +08:00
现在黑 php 的都开始用百分比了么。。
|
 |
23
guozhiyun 2019-05-18 09:10:18 +08:00 via Android
无脑黑
|
 |
24
janxin 2019-05-18 09:13:14 +08:00 5
100%的 XSS 漏洞存在与 JS 中,JS 才是最危险的语言!
|
 |
25
littleylv 2019-05-18 09:15:57 +08:00
跟语言有毛线关系。无脑黑。
|
 |
26
deepdark 2019-05-18 09:32:53 +08:00 via Android
PHP 危险函数确实比较多,开发者水平欠缺的话很容易写出漏洞。但你不能说它是最危险的编程语言,还是开发者的问题。虽然我是 php 黑,但这个锅 php 不能背
|
 |
27
changdy 2019-05-18 09:34:49 +08:00
一直对安全比较好奇,求问下在 java 中发生的情况:
一般来说 现在只要不是实习生 java 很难出现 sql 注入吧? 目录遍历 也很少遇到过,java 应该很少有便利本地目录文件的需求或功能, 至于代码注入,应该主要是第三方库吧,两三年前倒是见到过说 fastjson 有这个漏洞, 话说 php 因为脚本语言的原因还是比 java 更容易出现漏洞吧?小白一枚,哪里不正确请帮忙扶正, |
 |
28
masker 2019-05-18 09:44:15 +08:00 via Android
这。。。秀智商下线吗。
|
 |
29
whileFalse 2019-05-18 09:46:23 +08:00 via iPhone
你以为那些用 express 手撸的破玩意能好到哪儿去。
|
|
30
opengps 2019-05-18 09:49:26 +08:00 via Android
@qce7 确实,新人用的多,自然也就把缺点暴露的更多
就像当年 linux 用户少的时候,很多人被误导说 linux 系统下不需要杀毒软件一样 |
 |
31
wormcy 2019-05-18 09:50:17 +08:00
危险的是人
|
 |
32
taotaodaddy 2019-05-18 09:59:54 +08:00 via Android
我 phper 永不为奴!
|
 |
33
shehuizhuyi 2019-05-18 10:05:51 +08:00
和语言没关系 使用量多
|
 |
34
whoami9894 2019-05-18 10:14:55 +08:00 via Android 1
我觉得说的是有道理的,很大长度上是因为这种弱类型+动态类型+脚本语言本身的灵活随意性导致就不安全,能导致很多绕过。当然这也和开发者有关系,但你不能保每个开发者都有足够的安全经验。假如相同安全意识的两个程序员写 Java 和 PHP 相对来说一定是 Java 漏洞更少。
举个例子,对于 webshell 的查杀,PHP 的灵活性总可以绕过检查,第一次看到这种东西我都惊了: $a = "foo"; $a(); |
 |
35
fenglangjuxu 2019-05-18 10:19:53 +08:00
有这个数据可能是因为 php 被应用的比较广泛.
还有就是一些老的版本还在被使用. 还有就是项目可能没怎么使用大型的框架,现在的框架基本对安全性都做了考虑. php 是世界上最好的语言,没有之一,不接受反驳~ |
 |
36
vanishcode 2019-05-18 10:26:52 +08:00
|
 |
37
xrr2016 2019-05-18 10:28:19 +08:00 via Android
PHP 是最好的语音!
|
 |
38
ningfeng 2019-05-18 10:30:23 +08:00
ASP 不服
 |
 |
39
chenxytw 2019-05-18 10:44:34 +08:00
我觉得楼主是对的 0 0
我的判断依据是 CTF 的题型,web 题,代码审计,PHP 的占比很高。 |
 |
40
rockyou12 2019-05-18 10:50:17 +08:00
php 危险,还因为对 php 做攻击的多,我司 nginx 日志里面的攻击基本 90%的 url 都有 index.php 。php 就是这么牛逼
|
 |
41
accm 2019-05-18 11:28:02 +08:00
我是谁,没有绝对安全的系统
|
 |
42
golden0125 2019-05-18 11:31:30 +08:00
这难道不是开发不规范才导致安全隐患吗?按照这个逻辑我可以说水是最危险的东西,因为喝过水的人百分之百都死了
|
 |
43
Huelse 2019-05-18 11:43:52 +08:00
对 php 来说,这是好事。因为没人关注的语言,谁会去挖掘这么多问题
|
 |
44
luanguang 2019-05-18 12:02:49 +08:00
好事呀,说明用 php 的还是很多的,phper 找工作不愁
|
 |
45
icy37785 2019-05-18 12:46:13 +08:00 via iPhone
不同意,下一个
|
 |
46
sama666 2019-05-18 12:53:40 +08:00 via Android
很多 php 萌新不懂得安全,要不然网络安全也不会独立出来了
|
 |
47
killerv 2019-05-18 12:55:09 +08:00
xss 跟 PHP 有毛线关系,甚至说跟后端语言有毛线关系
|
 |
48
imdong 2019-05-18 12:59:51 +08:00
程序员是世界上最危险的语言。
因为所有的漏洞都是程序员写的。 |
 |
49
liuguang 2019-05-18 13:54:13 +08:00
你这怎么统计到的?这些漏洞,与语言无关,比如 xss 您能保证用其它语言写的就一定没有这个漏洞吗?
|
 |
50
godgc 2019-05-18 13:58:28 +08:00
@KasuganoSoras 应该还要包括一下市面框架暴露出的一些 0day 这种
|
 |
51
azh7138m 2019-05-18 14:00:01 +08:00 via Android
@whoami9894 和语言没关系的,Java 的 ssh 漏洞多的可怕,利用难度极低
|
 |
52
Mrxx 2019-05-18 14:25:22 +08:00
整天钓鱼不用上班么
|
 |
53
lithiumii 2019-05-18 14:25:30 +08:00
相关非因果
|
 |
54
ritaswc 2019-05-18 14:42:13 +08:00
特么的,java 写不好也一样的,天天给 PHP 闲的么
|
 |
56
lookas2001 2019-05-18 14:55:22 +08:00
水深火热,请
|
 |
57
Takamine 2019-05-18 15:01:59 +08:00
我觉得还是人的问题...。
互联网这个东西,本来就不存在绝对的安全一说:doge:。 |
 |
58
lshero 2019-05-18 15:04:18 +08:00 via Android
说几句不好听的,因为大部分做安全的只会用工具扫描。不会去审计那些二进制文件,甚至连打包了的脚本语言都不会去分析。
一些安全审核仅仅是根据 php 响应 header 中带的 php 版本来判断安全隐患,连一个可用的 payload 都无法提供。如果说根据 uri 中是否有.php 的扫描判断 php 是否安全,每天都一堆 ssh 的登录失败日志能否得出 openssh 也不安全的结论? |
 |
59
mamahaha 2019-05-18 15:06:53 +08:00
PHP 已经没啥好喷的了,过去那种一喷 PHP 马上全体围观的盛况早就没了,大家还是好好把精力使用在自己喜欢的语言上去吧。
|
 |
60
vjnjc 2019-05-18 15:08:28 +08:00
从另外个角度,这个说法还是可能的。
比如把 wordpress 网站考虑为 php 程序网站,而很多 wordpress 站都没有升级到最新版,看起来就符合文章描述了。 |
 |
61
gamexg 2019-05-18 16:52:40 +08:00 via Android
没说 c ?
溢出攻击大部分都是 c 语言的吧? |
|
63
azh7138m 2019-05-18 19:17:07 +08:00 via Android
|
 |
64
x86 2019-05-18 19:18:12 +08:00
贴吧言论都不如
|
 |
65
RLWGQ0AI4MAvYy36 2019-05-18 20:27:49 +08:00
网络应用中 JAVA 被认为是最危险的编程语言,同不同意?
86% 的 JAVA 应用程序至少包含一个跨站脚本( XSS )漏洞; 56% 的 JAVA 应用程序至少包含一个 SQL 注入漏洞,著名的也是非常危险且易被利用的 web 应用漏洞之一; 67% 的 JAVA 应用程序允许目录遍历; 61% 的 JAVA 应用程序允许代码注入; 58% 的 JAVA 应用程序在凭证管理方面有问题; 73% 的 JAVA 应用程序存在加密问题; 50% 的 JAVA 应用程序允许信息泄露。 |
|
66
autogen OP -
谢谢大伙赏我的铜板,我手动下沉,别回复了 - |
 |
67
ben1024 2019-05-18 23:03:45 +08:00
PHP 不背这个锅,再赏你 10 个
|
Select Language