网络应用中 PHP 被认为是最危险的编程语言，同不同意？

网络应用中 PHP 被认为是最危险的编程语言，同不同意？

86% 的 PHP 应用程序至少包含一个跨站脚本（ XSS ）漏洞；

56% 的 PHP 应用程序至少包含一个 SQL 注入漏洞，著名的也是非常危险且易被利用的 web 应用漏洞之一；

67% 的 PHP 应用程序允许目录遍历；

61% 的 PHP 应用程序允许代码注入；

58% 的 PHP 应用程序在凭证管理方面有问题；

73% 的 PHP 应用程序存在加密问题；

50% 的 PHP 应用程序允许信息泄露。

golden0125

2019-05-18 11:31:30 +08:00

这难道不是开发不规范才导致安全隐患吗？按照这个逻辑我可以说水是最危险的东西，因为喝过水的人百分之百都死了

Huelse

2019-05-18 11:43:52 +08:00

对 php 来说，这是好事。因为没人关注的语言，谁会去挖掘这么多问题

sama666

2019-05-18 12:53:40 +08:00

很多 php 萌新不懂得安全，要不然网络安全也不会独立出来了

imdong

2019-05-18 12:59:51 +08:00

程序员是世界上最危险的语言。
因为所有的漏洞都是程序员写的。

liuguang

2019-05-18 13:54:13 +08:00

你这怎么统计到的？这些漏洞，与语言无关，比如 xss 您能保证用其它语言写的就一定没有这个漏洞吗？

godgc

2019-05-18 13:58:28 +08:00

@KasuganoSoras 应该还要包括一下市面框架暴露出的一些 0day 这种

azh7138m

2019-05-18 14:00:01 +08:00

@whoami9894 和语言没关系的，Java 的 ssh 漏洞多的可怕，利用难度极低

Takamine

2019-05-18 15:01:59 +08:00

我觉得还是人的问题...。
互联网这个东西，本来就不存在绝对的安全一说:doge:。

lshero

2019-05-18 15:04:18 +08:00

说几句不好听的，因为大部分做安全的只会用工具扫描。不会去审计那些二进制文件，甚至连打包了的脚本语言都不会去分析。
一些安全审核仅仅是根据 php 响应 header 中带的 php 版本来判断安全隐患，连一个可用的 payload 都无法提供。如果说根据 uri 中是否有.php 的扫描判断 php 是否安全，每天都一堆 ssh 的登录失败日志能否得出 openssh 也不安全的结论？

mamahaha

2019-05-18 15:06:53 +08:00

PHP 已经没啥好喷的了，过去那种一喷 PHP 马上全体围观的盛况早就没了，大家还是好好把精力使用在自己喜欢的语言上去吧。

vjnjc

2019-05-18 15:08:28 +08:00

从另外个角度，这个说法还是可能的。
比如把 wordpress 网站考虑为 php 程序网站，而很多 wordpress 站都没有升级到最新版，看起来就符合文章描述了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/565243

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.