Re: [讨论] PHP是个漏洞多且不安全的后端语言?

楼主: alpe (薛丁格的猫)   2020-05-07 17:53:05
※ 引述《red0whale (red whale)》之铭言:
: 标题: [讨论] PHP是个漏洞多且不安全的后端语言?
: 时间: Thu May 7 11:30:19 2020
:
: 昨天我的数据库老师说
: PHP是一个漏洞相当多、非常不安全
: 而且是外面业界鲜少在使用的后端程式语言
: 他还说PHP只是给学生在用的程式语言
我爱跟老师抬杠... 不认同也是会不客气的,只不过后果自负。
: 而他建议我们做网页后端最好使用像C#或Java之类的需要编译过后才能使用的“编译语言
: 而非使用像PHP这种“直译语言”
: 原因之一在于PHP是以明文储存程式码
: 在外面业界如果使用明文丢后端程式语言给其他人,早就造成安全上的漏洞了
编译语 vs 直译语言 不是要开始战效能吗?战安全性搞错了吧?
安全性是看写程式的头脑,ASP的网站安全性有好吗?
啥 Linux/Mysql/postgresql 都是 Open Source Code的.
安全漏洞有比 win 多?
: 所以非常不建议使用PHP作为网页后端的程式语言
: 用PHP连后端数据库是非常危险的
: 原因也是因为直译式的关系
: 如果用PHP的话,数据库的帐号密码之类的也很容易外露造成资安漏洞
所以编译就看不到? 妈呀什么神逻辑!
再说不管那个很多时候 db account & pw 根本是写在 config 或环境变量
根本不在主程式里.
: 所以他说在外面业界几乎很少有人会使用像PHP这种直译式程式语言作为网页后端的程式
: 也非常不建议使用PHP,因为它本身的漏洞实在太多,且相当不安全
外面业界是吧. 104开一下打 php / java 进去看看, 工作了13+年还
不知道有这回事呢
: 对于PHP不安全、漏洞多有没有什么能够补救的办法?
在上数据库那总有资讯安全相关课程吧,软件安全流程之类的看看吧
java, c# 写成垃圾的也很多
: 顺带一提,我也有想过,像Facebook、Wikipedia 之类的大网站不也是使用PHP作为其中
: 虽然昨天也有跟老师讨论到这个
: 不过老师是跟我说,那些大网站使用PHP也只是用来做显示前端的一些部分
: 真正使用后端像是连数据库之类的根本不可能使用PHP来写
: 他说如果他们用PHP做后端的话是相当不安全、风险很高的作法
这是上世纪的想法了吧... 的确PHP原始是打算做前端的,后端
是要用C写... ... 美丽的意外后就变成这样了。
过去5~7年 前端呈现都变成 javascript 的天下了,很多时候 phper
写出来的东西连 html tag 都看不到.
:
作者: takumi412 (人参啊~)   2020-05-08 09:45:00
我看过某上市公司内部ERP把SQL string写在html inputtag 的惊世之举...
作者: MOONRAKER (㊣牛鹤鳗毛人)   2020-05-08 15:07:00
我也看过超棒的 而且是在某网站新闻看到的 是同一个吗
楼主: alpe (薛丁格的猫)   2020-05-08 19:21:00
古早年代什么鬼事都会发生. 虽然说现在也还是有
作者: MOONRAKER (㊣牛鹤鳗毛人)   2020-05-09 14:21:00
不超过五年。不过在以前和现在的公司都碰过懒鬼programmer写“忘记密码”功能之类的验证直接把明码写在javascript里面...
作者: Refauth (山丘上的长号手)   2020-05-09 23:26:00
真的假的啊楼上XD
作者: MOONRAKER (㊣牛鹤鳗毛人)   2020-05-10 13:11:00
真的!也不是忘记密码,应该就是简易活动网页的密码验证还沿用好几版没人发现 讲这么多应该猜得出来什么公司了
作者: laechan (挥泪斩马云)   2020-05-12 09:56:00
我唸的大学,听说还在教 c, 最简单的那种https://i.imgur.com/91VfNZV.jpg好歹教个python或php脚本..
作者: swallowcc (guest)   2020-05-12 11:03:00
教C先吓吓他, 撑不住的就会觉得自己不适合写扣 (误
作者: MOONRAKER (㊣牛鹤鳗毛人)   2020-05-12 11:28:00
C语言不是没发展,要学好也绝对不简单。我现在绝对不想回去写C程式。C的问题是很多老师一套东西教20年不变或者沈迷在 a *= a-- * ++b 这种“动物奇观”当中

Links booklink

Contact Us: admin [ a t ] ucptt.com