网络应用中 PHP 被认为是最危险的编程语言,同不同意?

2019-05-18 01:57:21 +08:00
 autogen
网络应用中 PHP 被认为是最危险的编程语言,同不同意?

86% 的 PHP 应用程序至少包含一个跨站脚本( XSS )漏洞;

56% 的 PHP 应用程序至少包含一个 SQL 注入漏洞,著名的也是非常危险且易被利用的 web 应用漏洞之一;

67% 的 PHP 应用程序允许目录遍历;

61% 的 PHP 应用程序允许代码注入;

58% 的 PHP 应用程序在凭证管理方面有问题;

73% 的 PHP 应用程序存在加密问题;

50% 的 PHP 应用程序允许信息泄露。
7765 次点击
所在节点    PHP
67 条回复
azoon
2019-05-18 09:00:57 +08:00
侧面反映 PHP 多人用
liuxu
2019-05-18 09:05:44 +08:00
现在黑 php 的都开始用百分比了么。。
guozhiyun
2019-05-18 09:10:18 +08:00
无脑黑
janxin
2019-05-18 09:13:14 +08:00
100%的 XSS 漏洞存在与 JS 中,JS 才是最危险的语言!
littleylv
2019-05-18 09:15:57 +08:00
跟语言有毛线关系。无脑黑。
deepdark
2019-05-18 09:32:53 +08:00
PHP 危险函数确实比较多,开发者水平欠缺的话很容易写出漏洞。但你不能说它是最危险的编程语言,还是开发者的问题。虽然我是 php 黑,但这个锅 php 不能背
changdy
2019-05-18 09:34:49 +08:00
一直对安全比较好奇,求问下在 java 中发生的情况:
一般来说 现在只要不是实习生 java 很难出现 sql 注入吧?
目录遍历 也很少遇到过,java 应该很少有便利本地目录文件的需求或功能,
至于代码注入,应该主要是第三方库吧,两三年前倒是见到过说 fastjson 有这个漏洞,

话说 php 因为脚本语言的原因还是比 java 更容易出现漏洞吧?小白一枚,哪里不正确请帮忙扶正,
masker
2019-05-18 09:44:15 +08:00
这。。。秀智商下线吗。
whileFalse
2019-05-18 09:46:23 +08:00
你以为那些用 express 手撸的破玩意能好到哪儿去。
opengps
2019-05-18 09:49:26 +08:00
@qce7 确实,新人用的多,自然也就把缺点暴露的更多
就像当年 linux 用户少的时候,很多人被误导说 linux 系统下不需要杀毒软件一样
wormcy
2019-05-18 09:50:17 +08:00
危险的是人
taotaodaddy
2019-05-18 09:59:54 +08:00
我 phper 永不为奴!
shehuizhuyi
2019-05-18 10:05:51 +08:00
和语言没关系 使用量多
whoami9894
2019-05-18 10:14:55 +08:00
我觉得说的是有道理的,很大长度上是因为这种弱类型+动态类型+脚本语言本身的灵活随意性导致就不安全,能导致很多绕过。当然这也和开发者有关系,但你不能保每个开发者都有足够的安全经验。假如相同安全意识的两个程序员写 Java 和 PHP 相对来说一定是 Java 漏洞更少。

举个例子,对于 webshell 的查杀,PHP 的灵活性总可以绕过检查,第一次看到这种东西我都惊了: $a = "foo"; $a();
fenglangjuxu
2019-05-18 10:19:53 +08:00
有这个数据可能是因为 php 被应用的比较广泛.
还有就是一些老的版本还在被使用.
还有就是项目可能没怎么使用大型的框架,现在的框架基本对安全性都做了考虑.

php 是世界上最好的语言,没有之一,不接受反驳~
vanishcode
2019-05-18 10:26:52 +08:00
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=PHP
xrr2016
2019-05-18 10:28:19 +08:00
PHP 是最好的语音!
ningfeng
2019-05-18 10:30:23 +08:00
ASP 不服
chenxytw
2019-05-18 10:44:34 +08:00
我觉得楼主是对的 0 0
我的判断依据是 CTF 的题型,web 题,代码审计,PHP 的占比很高。
rockyou12
2019-05-18 10:50:17 +08:00
php 危险,还因为对 php 做攻击的多,我司 nginx 日志里面的攻击基本 90%的 url 都有 index.php 。php 就是这么牛逼

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/565243

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX