※ 引述《red0whale (red whale)》之銘言:
: 標題: [討論] PHP是個漏洞多且不安全的後端語言?
: 時間: Thu May 7 11:30:19 2020
:
: 昨天我的資料庫老師說
: PHP是一個漏洞相當多、非常不安全
: 而且是外面業界鮮少在使用的後端程式語言
: 他還說PHP只是給學生在用的程式語言
我愛跟老師抬槓... 不認同也是會不客氣的,只不過後果自負。
: 而他建議我們做網頁後端最好使用像C#或Java之類的需要編譯過後才能使用的「編譯語言
: 而非使用像PHP這種「直譯語言」
: 原因之一在於PHP是以明文儲存程式碼
: 在外面業界如果使用明文丟後端程式語言給其他人,早就造成安全上的漏洞了
編譯語 vs 直譯語言 不是要開始戰效能嗎?戰安全性搞錯了吧?
安全性是看寫程式的頭腦,ASP的網站安全性有好嗎?
啥 Linux/Mysql/postgresql 都是 Open Source Code的.
安全漏洞有比 win 多?
: 所以非常不建議使用PHP作為網頁後端的程式語言
: 用PHP連後端資料庫是非常危險的
: 原因也是因為直譯式的關係
: 如果用PHP的話,資料庫的帳號密碼之類的也很容易外露造成資安漏洞
所以編譯就看不到? 媽呀什麼神邏輯!
再說不管那個很多時候 db account & pw 根本是寫在 config 或環境變數
根本不在主程式裡.
: 所以他說在外面業界幾乎很少有人會使用像PHP這種直譯式程式語言作為網頁後端的程式
: 也非常不建議使用PHP,因為它本身的漏洞實在太多,且相當不安全
外面業界是吧. 104開一下打 php / java 進去看看, 工作了13+年還
不知道有這回事呢
: 對於PHP不安全、漏洞多有沒有什麼能夠補救的辦法?
在上資料庫那總有資訊安全相關課程吧,軟體安全流程之類的看看吧
java, c# 寫成垃圾的也很多
: 順帶一提,我也有想過,像Facebook、Wikipedia 之類的大網站不也是使用PHP作為其中
: 雖然昨天也有跟老師討論到這個
: 不過老師是跟我說,那些大網站使用PHP也只是用來做顯示前端的一些部分
: 真正使用後端像是連資料庫之類的根本不可能使用PHP來寫
: 他說如果他們用PHP做後端的話是相當不安全、風險很高的作法
這是上世紀的想法了吧... 的確PHP原始是打算做前端的,後端
是要用C寫... ... 美麗的意外後就變成這樣了。
過去5~7年 前端呈現都變成 javascript 的天下了,很多時候 phper
寫出來的東西連 html tag 都看不到.
: