apache/PHP 是否具有自我安全性,以便开发人员不需要关心它?
答案1
尽管 sysadmin1138 表示,Apache 和 PHP 的安全缺陷相对较少。但是,针对使用 php 开发的应用程序发出了大量警告。这并不是说 PHP 本身存在缺陷,问题出现的原因如下:
1)PHP 是一种非常容易上手的编程语言,入门门槛很低,因此自称是 PHP 程序员的人的素质和能力差异很大
2)PHP 提供对 HTTP 接口的低级访问 - 并让开发人员自行研究如何处理 CSS、CSRF、代码注入、会话固定等问题......与其他提供这些功能的开发环境(但通常由第三方提供)相比。
答案2
如果您拥有每个版本的最新更新,并确保遵循这些更新,则核心程序应该没问题。
问题是,apache 配置和 php(php 的开放程度非常大,因为它是一种完整的编程语言)给你足够的绳子让你上吊它们几乎不能提供任何保护措施来阻止您以不安全的方式配置系统或编写(或只是部署)充满漏洞的应用程序。
所以,底线是:是的,如果您让它们保持最新,您就可以信任它们,并专注于保证您自己的配置和 php 代码的安全。
答案3
事实上,远非如此。两者都是用途非常广泛的环境,安装程序的配置错误可能会对通过系统的数据的安全性产生重大影响。当这类系统变得足够复杂时,它就不再是代码质量的问题,而更多的是正确配置的问题。
尽管如此,这两款产品仍定期发布需要修补的安全警报。
此外,两者都是在其基础上叠加了更多应用逻辑的框架。这些逻辑可能存在缺陷和漏洞,而其所基于的框架无法防御这些缺陷和漏洞。