我们知道,Suhosin 强化了 PHP,并增加了另一层安全性。但不幸的是,目前还没有 PHP 5.4/5.5 的官方版本(反正我找不到)。
所以这让我陷入了一个小小的困境。我是否应该使用我认为比旧版 5.3 更安全的较新的 PHP 5.4/5.5,还是使用旧版 PHP 5.3 但带有 Suhosin 的安全强化补丁?
目前,我在本地机器上运行的是 PHP 5.3.5 代码,因此 PHP 5.4/5.5 本身并没有什么值得我需要让我的脚本能够正常工作。不过,安全性是这个项目的重中之重!
在这种情况下推荐什么?或者无所谓?Suhosin 似乎有一些不错的补丁。
谢谢
答案1
最安全的 PHP 版本是您不断更新的版本。哪个版本(和相关库)由上游提供商(您的 Linux 发行版,假设您运行的是 Linux)维护。您自己构建二进制文件吗?如果是这样,请确保分配所需的时间来跟上所有安全补丁,不仅是 PHP,还包括应用程序所需的库。
答案2
Suhosin Extension v. 0.9.36 可在 suhosin.org 和 github 上获取。支持的 PHP 版本为 PHP 5.4 和 PHP 5.5。
Suhosin 补丁尚未移植到当前的 PHP 版本。
即使没有 Suhosin Patch 中的额外 PHP 补丁,带有 Suhosin 扩展的当前 PHP 版本也绝对比过时的 PHP <5.4 版本更安全,后者不会再正式接收与安全相关的补丁。
Suhosin 为 PHP 提供了广泛的安全相关增强功能,包括
- Cookie 和会话加密
- 黑名单和白名单函数、eval'd 函数、包括
- 防范 SQL 注入
- 各种输入过滤器和限制
- 安全随机数重新播种
- 伐木与保护模拟
除了保持 PHP 安装最新之外,这些功能还可以为应用程序的安全性提供独特的优势,而这是 PHP 无法提供的。在运行第三方应用程序和闭源/加密应用程序时,这些应用程序的代码质量未知,因此这一点可能尤其有用。
答案3
Suhosin 是一个老旧的想法/概念,在当今时代确实不再适用。它和那些认为禁用 PHP 函数可以确保服务器安全的人一样糟糕。只需保持 PHP 更新并专注于保护服务器和服务。