Apache / PHP是否自我保护,以便开发人员不需要关心它?
尽pipesysadmin1138说了什么,但在apache或PHP中都有相对较less的安全缺陷。 然而,有很多关于使用php开发的应用程序的build议。 并不是PHP本质上是有缺陷的,问题出现的原因是:
1)PHP作为一种编程语言很容易入门 – 进入的门槛非常低 – 所以人们把自己描述为PHP程序员的质量和能力的范围很广
2)PHP提供了对HTTP接口的低级访问,并留给开发者来解决如何处理CSS,CSRF,代码注入,会话固定等问题…..与其他开发环境相比提供(但通常由第三方)。
如果你有最新的更新,并确保遵循这些,核心程序应该没问题。
问题是,无论是Apacheconfiguration和PHP(PHP到一个非常广泛的程度,因为它是一个完整的编程语言) 给你足够的绳索挂你自己 。 他们通过保护的方式做的很less,以防止以不安全的方式configuration系统,或者编写(或只是部署)一个充满漏洞的应用程序。
所以,底线是:是的,如果你保持最新,你可以信任他们,并专注于保持自己的configuration和PHP代码的安全。
实际上远非如此。 两者都是非常通用的环境,安装程序的configuration错误会对通过系统的数据的安全性产生重大影响。 当像这样的系统变得足够复杂时,代码质量问题变得更less了,更多的是正确的configuration问题。
而且,这两种产品通常都会针对需要修补程序的用户发布安全警报。
而且,两者都是进一步应用逻辑所覆盖的框架。 这个逻辑可能有它所build立的框架无法抵御的缺陷和漏洞。