我相信我已经相当安全地设置了我的代码,它验证并清理用户输入,因此它是安全的,等等。
那么我需要 SuHosin 吗?(这是 PHP 的安全附加功能/补丁)
如果我的代码已经很安全,那么这对我有什么帮助?
例如,我读到 SuHosin 有助于防止远程包含,但如果我的代码一开始不使用远程包含,那么这怎么会成为威胁呢?
答案1
这可以归结为两个简单的问题,
- 一层安全保障就够了吗?
- 任何一段代码都绝对没有错误吗?
SuHosin 在您已经安全的应用程序之上提供了额外的安全层,以弥补您自己的代码中不可避免的漏洞。
没有任何一段代码是 100% 安全的,因为没有任何一段代码是 100% 没有错误的,而且谁知道这些错误会如何被利用。
此外,您不知道 PHP 或您使用的 PHP 模块中存在哪些错误或漏洞。SuHosin 也可以保护您免受这些漏洞的侵害。
总之,
- 一层的安全保障通常是不够的。
- 没有哪一段代码是没有错误的。
是否使用它取决于个人选择,
- 曝光对我的网站有何影响?
- 使用 SuHosin 的开销或复杂性是什么?
你可以用一个来代替另一个,高影响和低开销 = 去做,低影响和高开销 = 也许不会打扰。