[Информационная безопасность, PHP] Почему я не люблю PHP
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Не спешите прокручивать мой пост - дело совсем не в коде, не в пороге вхождения, фреймворках или отсутсвия обратной совместимости.Я отношусь к PHP с той стороны, которая занята его размещением и безопасностью. Конечно, сейчас никаких трудов не составит запихнуть код с интерпретатором в контейнер, но вот безопасность...Смотрите - каждый раз, когда вы обращаетесь к своему коду через веб-интерфейс, вы запускаете интерпретатор, который считывает все файлы и формирует ответ. В том числе и файл, где вы так заботливо указали доступы к своей базе данных. И не спешите шифровать его - ведь ключ для расшифровки вам тоже надо где-то брать, верно?Я просто уже вижу, как воспользовавшись одной из уязвимостей старых версий, злой хаккер ломает ваше приложение на древнем PHP5. Ведь его уже никто не поддерживает, а перейти на новую версию вам мешает отсутствие обратной совместимости.И вот злой хаккер стягивает файл с доступами базы, радостно читает и ухмыляясь, запускает на выполнени запрос, который вытягивает ваш дам с базы и покорно отдает его злодею на растерзание.И не беда, если у вам там обычный блог или сайт-визитка. А если интернет-магазин? А если финансовое приложение?Только не говорите, что в финтеке нет PHP. Есть. Я лично видел.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Учебный процесс в IT, Видеоконференцсвязь] Проблемы студентов на удалёнке: странные требования к сдаче экзаменов (перевод)
- [Информационная безопасность] ТОП-3 ИБ-событий недели по версии Jet CSIRT
- [Информационная безопасность, Системное администрирование, Софт, IT-компании] 0patch закрыла бесплатным микропатчем уязвимость нулевого дня в Windows 7 и Server 2008 R2
- [Информационная безопасность, IT-инфраструктура, IT-стандарты] Как выбрать безопасный смартфон и не пожалеть
- [Информационная безопасность, Законодательство в IT] РКН назвал нарушением закона о персданных размещение списков должников в подъездах
- [Информационная безопасность] Расследование: как мы помогли атакованной шифровальщиком группировки APT27 компании вернуть доступ к файлам
- [Информационная безопасность, Беспроводные технологии] NFC на банкомате: небольшой ликбез
- [Разработка веб-сайтов, PHP, Программирование, Проектирование и рефакторинг] Сейчас я буду убеждать вас использовать статический анализ в PHP
- [PHP, Программирование] Состоялся релиз языка программирования PHP 8.0
- [Информационная безопасность, IT-компании] Security Training & Awareness в Тинькофф
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_php, #_php, #_bezopasnost (безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_php
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:05
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Не спешите прокручивать мой пост - дело совсем не в коде, не в пороге вхождения, фреймворках или отсутсвия обратной совместимости.Я отношусь к PHP с той стороны, которая занята его размещением и безопасностью. Конечно, сейчас никаких трудов не составит запихнуть код с интерпретатором в контейнер, но вот безопасность...Смотрите - каждый раз, когда вы обращаетесь к своему коду через веб-интерфейс, вы запускаете интерпретатор, который считывает все файлы и формирует ответ. В том числе и файл, где вы так заботливо указали доступы к своей базе данных. И не спешите шифровать его - ведь ключ для расшифровки вам тоже надо где-то брать, верно?Я просто уже вижу, как воспользовавшись одной из уязвимостей старых версий, злой хаккер ломает ваше приложение на древнем PHP5. Ведь его уже никто не поддерживает, а перейти на новую версию вам мешает отсутствие обратной совместимости.И вот злой хаккер стягивает файл с доступами базы, радостно читает и ухмыляясь, запускает на выполнени запрос, который вытягивает ваш дам с базы и покорно отдает его злодею на растерзание.И не беда, если у вам там обычный блог или сайт-визитка. А если интернет-магазин? А если финансовое приложение?Только не говорите, что в финтеке нет PHP. Есть. Я лично видел. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_php |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:05
Часовой пояс: UTC + 5