[讨论] PHP是个漏洞多且不安全的后端语言？ red0whale PTT批踢踢实业坊

[讨论] PHP是个漏洞多且不安全的后端语言？

楼主: red0whale (red whale) 2020-05-07 11:30:19

昨天我的数据库老师说
PHP是一个漏洞相当多、非常不安全
而且是外面业界鲜少在使用的后端程式语言
他还说PHP只是给学生在用的程式语言
而他建议我们做网页后端最好使用像C#或Java之类的需要编译过后才能使用的“编译语言
”
而非使用像PHP这种“直译语言”
原因之一在于PHP是以明文储存程式码
在外面业界如果使用明文丢后端程式语言给其他人，早就造成安全上的漏洞了
所以非常不建议使用PHP作为网页后端的程式语言
另外，他也提及
用PHP连后端数据库是非常危险的
原因也是因为直译式的关系
如果用PHP的话，数据库的帐号密码之类的也很容易外露造成资安漏洞
所以他说在外面业界几乎很少有人会使用像PHP这种直译式程式语言作为网页后端的程式
语言
也非常不建议使用PHP，因为它本身的漏洞实在太多，且相当不安全
不晓得各位有什么看法？
对于PHP不安全、漏洞多有没有什么能够补救的办法？
顺带一提，我也有想过，像Facebook、Wikipedia 之类的大网站不也是使用PHP作为其中
一种程式语言吗？
虽然昨天也有跟老师讨论到这个
不过老师是跟我说，那些大网站使用PHP也只是用来做显示前端的一些部分
真正使用后端像是连数据库之类的根本不可能使用PHP来写
他说如果他们用PHP做后端的话是相当不安全、风险很高的作法
然而，我已经使用PHP做为后端语言已经好几年了
听到老师这番话要我全部改学另一种语言而且又要把先前已写好好几万行的PHP码全部都
改写
我认为这是个相当相当浩大的工程
希望各位可以给些建议和看法
谢谢

作者: alpe (薛丁格的猫) 2020-05-07 11:42:00

呵呵呵～你说你也用好几年了打脸你老师不难吧

作者: ddoll288 (风儿卿卿) 2020-05-07 11:46:00

BufferUnderRun vs stackOverFlow 嘻嘻

作者: swallowcc (guest) 2020-05-07 11:46:00

通常写出烂扣弄出漏洞的都是人啊 XD 不敢说语言本身绝对完美无缺，但在那之前开发者要自己守好本份认真说的话，我是觉得这老师对 PHP 有成见吧 ._."

作者: ddoll288 (风儿卿卿) 2020-05-07 11:51:00

我常看到java写的API吐NULL出来呢

作者: newton2009 (好瘦唷QQ) 2020-05-07 13:16:00

那个人根本就想让你帮他改code吧... 扯到程式语言不知是何居心...

作者: tsao1211 (Sunday) 2020-05-07 13:24:00

这老师水准太低了

作者: tyh11 2020-05-07 14:30:00

赶快换老师

作者: tkdmaf (皮皮快跑) 2020-05-07 14:55:00

你问他：那为什么你会在这当老师？

作者: howder5566 (好der5566) 2020-05-07 15:39:00

所以你的老师现在还在学界当老师，出不了学界

作者: swallowcc (guest) 2020-05-07 15:43:00

JAVA C# 丢给别人维护也是要明码啊 = ="当你的code交到别人手上的时候，就不要想太多了，这跟什么语言都无关，会爬扣找洞的人就是会去找至于连数据库，如果还是要用mysql_connect这种过时的，确实是不太好，建议还是换成新的连法，但最主要的仍然是你的扣有没有照规矩写，会不会用 . 去凑字串凑 SQL?回你那句，那他真的太浅，java 要 decompile 很容易的有心一点的会把 code 作混淆，但也不是不能阅读反推https://imgur.com/apHClDw 随手抓个 jar 来拍照而且php都出7.4了，这要说没在维护应该是鬼遮眼了...

作者: mintu (MinTu) 2020-05-07 17:06:00

可以去找 Wikipedia 用的 MediaWiki source code，来打脸那个老师看看 MediaWiki 的语言占比 https://i.imgur.com/ap76MuS.jpg

作者: readper (祐子) 2020-05-07 17:19:00

业界鲜少使用是三小智障言论数据库连线资讯请使用kms之类的服务好吗？老师停在十年前你自己写了几年看来也没去理解安全性阿

作者: tsao1211 (Sunday) 2020-05-07 17:38:00

你的问题和你老师的意见都太基础了，像是初学者在问的。而且自己google就有答案，Facebook都用PHP起家的，还听你老师那套？

作者: ek0519 (new life) 2020-05-07 19:23:00

应该是淡江的老师

作者: chongruei (POPO) 2020-05-07 19:24:00

敢质疑我大Facebook?

作者: protonchang (忘东忘西) 2020-05-07 20:06:00

淡江哪个教授这样说啊? 那我写Python应该也蛮不安全的...? 直译类语言都不安全我觉得有点太武断了

作者: crossdunk (推嘘自如) 2020-05-07 20:58:00

业界很少用？他的资料哪来的

作者: tkdmaf (皮皮快跑) 2020-05-07 23:33:00

叫你老师直接来这跟大家聊，他就知死了，我谅他不敢来。

作者: supersonictw (天降之神) 2020-05-08 06:31:00

跟语言本身没关系坑是人写的。

作者: swallowcc (guest) 2020-05-08 09:26:00

什么门都好啦，重点是住户，木门住户都把门锁紧，加装防盗设备，随时跟警局连线，铁门把钥匙挂门上，偶尔还不关门，那谁会被偷很明显啊一样都做好防护的话，除非你家里面放了金山银山，不然绝大部分的小偷只会摸摸鼻子去找下一家偷

作者: MagicMomo19 (Momo) 2020-05-08 17:04:00

鄙视链又出现了?写久的都知道，最大的漏洞是人..

作者: PTTNella (Nella) 2020-05-08 17:44:00

原来平行世界是真的

作者: hitgun (hitgun) 2020-05-09 00:32:00

既然是数据库老师，只听数据库部分就好

作者: ddoll288 (风儿卿卿) 2020-05-09 09:49:00

有些人是学一套走江湖数十年,不见得真有本事,是因为底层很多东西根本不会变,但是就是不会去学也不需要学新的技能,叫他上战场实战可能马上就倒了,只能活在被保护的金字塔内,向不的不接受的人传授怪怪的理论

作者: im93 (小石) 2020-05-09 20:14:00

换程式不如换老师

作者: bill0205 (善良的小孩没人爱) 2020-05-10 00:32:00

难怪只能待在学界绝大多数漏洞都马人为的

作者: ctrlbreak 2020-05-10 02:49:00

危险的是人, 不是语言.

作者: twsphere (人歪吃草~~) 2020-05-11 11:52:00

业界很少用 ?? 你要不要换个老师比较快

作者: g781 2020-05-28 19:07:00

Bug是人导致和语言本身无关。如果按你老师的神逻辑，Python也是直译语言不安全，如果用Python写了一堆后端程式也很不安全，这样Google不就很也很不安全。PHP也可以对程式加密，只是要多花钱。如果用编译语言就安全，这样就没有debug这问题。建议换老师，他可能PHP写不好被骇过，就把问题推给PHP。

作者: newhandfun (新手方) 2020-06-25 11:43:00

google工程师跟我说他们用python,fb用的是改造后的php,真的豪危险

作者: kobala (悠闲) 2020-07-31 17:36:00

我百分之百确定这老师不懂资安

继续阅读

[请益] 自建Migration的可能性？pthuang [问题] 如何使用websocket只跟某用户交流？freebug [讨论] 想问有推荐的php线上课程吗ptt426ptt Re: [请益] 想请求高手帮忙打造php的运作Sphinx2 [请益] 想请求高手帮忙打造php的运作Sphinx2 [请益] PHP 驱动小票机打印疑问wolfkao [请益] 按钮表单修改stylexp Re: [请益] 背景执行相关问题GALINE [请益] 背景执行相关问题b90022790 [请益] stripos搜寻字串的问题ataru921