PHP SuHosin——我的代码已经是安全的……有必要吗?

PHP SuHosin——我的代码已经是安全的……有必要吗?

我相信我已经相当安全地设置了我的代码,它验证并清理用户输入,因此它是安全的,等等。

那么我需要 SuHosin 吗?(这是 PHP 的安全附加功能/补丁)

如果我的代码已经很安全,那么这对我有什么帮助?
例如,我读到 SuHosin 有助于防止远程包含,但如果我的代码一开始不使用远程包含,那么这怎么会成为威胁呢?

答案1

这可以归结为两个简单的问题,

  1. 一层安全保障就够了吗?
  2. 任何一段代码都绝对没有错误吗?

SuHosin 在您已经安全的应用程序之上提供了额外的安全层,以弥补您自己的代码中不可避免的漏洞。

没有任何一段代码是 100% 安全的,因为没有任何一段代码是 100% 没有错误的,而且谁知道这些错误会如何被利用。

此外,您不知道 PHP 或您使用的 PHP 模块中存在哪些错误或漏洞。SuHosin 也可以保护您免受这些漏洞的侵害。

总之,

  1. 一层的安全保障通常是不够的。
  2. 没有哪一段代码是没有错误的。

是否使用它取决于个人选择,

  1. 曝光对我的网站有何影响?
  2. 使用 SuHosin 的开销或复杂性是什么?

你可以用一个来代替另一个,高影响和低开销 = 去做,低影响和高开销 = 也许不会打扰。

相关内容