apache Asked: 2010-04-01 10:09:00 +0800 CST2010-04-01 10:09:00 +0800 CST 2010-04-01 10:09:00 +0800 CST 如果开发人员根本不调整 apache/PHP 是否存在溢出问题? 772 apache/PHP 是自我保护的,因此开发人员不需要关心它吗? exploit security overflow 3 个回答 Voted symcbean 2011-02-06T09:48:20+08:002011-02-06T09:48:20+08:00 尽管 sysadmin1138 说了什么,但 apache 或 PHP 中的安全缺陷相对较少。然而,有大量关于使用 php 开发的应用程序的建议。并不是说 PHP 本质上存在缺陷,问题的出现是因为: 1) PHP 作为一门编程语言很容易上手——进入门槛很低——所以自称为 PHP 程序员的人的素质和能力有很大的不同 2) PHP 提供对 HTTP 接口的低级别访问 - 并让开发人员来解决如何处理 CSS、CSRF、代码注入、会话固定等内容.....与其他开发环境相比提供(但通常由第三方提供)。 mattdm 2011-02-06T10:57:35+08:002011-02-06T10:57:35+08:00 如果你有每个的最新更新,并确保遵循这些,核心程序应该没问题。 问题是,apache 配置和 php(php 在非常广泛的范围内,因为它是一门完整的编程语言)都为您提供了很多可以吊死自己的绳索。他们很少采取保护措施来防止您以不安全的方式配置系统或编写(或只是部署)充满漏洞的应用程序。 所以,底线是:是的,如果你让它们保持最新,你就可以信任它们,并专注于保持你自己的配置和 php 代码的安全。 sysadmin1138 2011-02-06T09:31:37+08:002011-02-06T09:31:37+08:00 实际上,远非如此。两者都是非常通用的环境,安装人员的配置错误可能会对通过系统的数据的安全性产生重大影响。当像这样的系统变得足够复杂时,它就不再是代码质量问题,而是正确配置的问题。 尽管如此,这两种产品都会定期发布针对它们的安全警报,需要补丁。 此外,两者都是覆盖进一步应用程序逻辑的框架。该逻辑可能存在其构建的框架无法防御的错误和漏洞。
尽管 sysadmin1138 说了什么,但 apache 或 PHP 中的安全缺陷相对较少。然而,有大量关于使用 php 开发的应用程序的建议。并不是说 PHP 本质上存在缺陷,问题的出现是因为:
1) PHP 作为一门编程语言很容易上手——进入门槛很低——所以自称为 PHP 程序员的人的素质和能力有很大的不同
2) PHP 提供对 HTTP 接口的低级别访问 - 并让开发人员来解决如何处理 CSS、CSRF、代码注入、会话固定等内容.....与其他开发环境相比提供(但通常由第三方提供)。
如果你有每个的最新更新,并确保遵循这些,核心程序应该没问题。
问题是,apache 配置和 php(php 在非常广泛的范围内,因为它是一门完整的编程语言)都为您提供了很多可以吊死自己的绳索。他们很少采取保护措施来防止您以不安全的方式配置系统或编写(或只是部署)充满漏洞的应用程序。
所以,底线是:是的,如果你让它们保持最新,你就可以信任它们,并专注于保持你自己的配置和 php 代码的安全。
实际上,远非如此。两者都是非常通用的环境,安装人员的配置错误可能会对通过系统的数据的安全性产生重大影响。当像这样的系统变得足够复杂时,它就不再是代码质量问题,而是正确配置的问题。
尽管如此,这两种产品都会定期发布针对它们的安全警报,需要补丁。
此外,两者都是覆盖进一步应用程序逻辑的框架。该逻辑可能存在其构建的框架无法防御的错误和漏洞。