网络应用中 PHP 被认为是最危险的编程语言，同不同意？

那么，数据来源于？

不注意代码规范，都会如此吧？

@tongyifan Ref: Veracode. State of Software Security: Focus on Application Development

@autogen 去学习一下

很正常，因为写 PHP 的新手确实更多，但是你不能质疑 PHP 的安全性，因为安全性是相对的，只有用不好工具的人，没有不好的工具，况且还是世界上最流行的工具，没有之一

想起 windows 是最不安全的系统言论

不同意，没有不安全的编程语言，只有不会写代码的人。
照这个说法，Java Web 也不安全，前不久我给我朋友的一个 Java 写的网页管理系统做了一次安全测试，给我挖出一大堆 XSS、SQL 注入、CSRF 攻击，这能说明一个编程语言不安全吗？不能，只能说明写代码的人不够认真不够仔细。
PHP 提供了大量的方法用于预防 XSS、SQL 注入等等漏洞，例如 preg_match 正则表达式匹配，mysqli_real_escape_string 字符串转义防止注入等，因此只要掌握了这些函数的使用方法，合理搭配合理运用，完全不用担心自己写的东西会不安全。

另外，世界上没有绝对安全的系统，什么都可能有漏洞，只有不断去修复去填补。

漏洞通常容易出现在：
1. 新人的作品
2. 中大型的项目
3. 闭源，自用的项目
新人作品有漏洞就不用说了，很正常的，刚学会一门编程语言，根本不懂得怎么做安全。
中大型项目一般都是由团队开发的，越大的项目越复杂，更容易出现漏洞、bug。
闭源的项目一般都是“能跑就行”，不太会追求代码整洁，同时缺少社区的支持和维护，隐藏的漏洞一般比较多。

和语言无关，往前十几年那会 ASP 写的网站论坛商城拿个明小子都能扫出注入等等漏洞。

php 容易出安全问题不是因为 php 烂（虽然 php 真的很烂），是因为 php 门槛低，php 程序员的平均水平低，以及 php 市场占有率极高。

10 年前的言论

安不安全取决于防御能力，php 很多流行框架确实有缺陷，却被用作底层。
说说我网站，没用任何框架代码，几乎全程手写，所以也就没留下通用型的注入规则，至少想渗透入侵我网站不能用那些成品渗透工具，这也算一种防御，无招胜有招的那种

这个因素应该受不安全的人影响更大吧

原来说 ASP 是最危险的语言

黑 php 的新姿势

要不要我用 java 写出上述漏洞～

编程语言分两种：1.有一大堆缺点的 2.没人用的

@opengps 对于新手还有经验不足的人，手写不如用成熟的开源框架

根据这个标准，那 windows 是最容易中病毒的操作系统

XSS 不是前端的祸么 ？
这锅 PHP 也得背？