1、PHP项目安全形势不容乐观
W3Techs就一个提供各种技术在Web上使用信息统计的平台,图1所示是年在Web服务端使用动态开发语言的统计数据。从统计结果可以看出,PHP占比达到82%。其次是ASP.NET和Java。图1由W3Techs统计的Web服务端所用动态开发语言的占比情况
Exploit-db是面向全世界的一个漏洞平台,该平台通过收集和公布漏洞来督促研发人员对系统漏洞进行修复,图2是对历史漏洞所用的开发语言进行归类的统计结果。从图中可以看出,90%的Web平台漏洞所使用的开发语言是PHP。通过图1和图2的对比,很容易得出一个结论:PHP应用得多,由其导致的漏洞也最多。图2由Exploit-db统计的各Web平台漏洞对应的开发语言分布情况
图3是美国国家漏洞库(NationalVulnerabilityDatabase,NVD)所做的从年到年的历年常见漏洞类型的统计数据图。从该统计数据图上可以看出,近几年来随着研发框架安全性的不断提高,SQL注入有了明显的改善,但是SQL注入问题依然没有彻底解决;认证问题、跨站点脚本(XSS)、信息泄露/信息披露等漏洞几乎没有改善。图3由NVD所做的历年常见漏洞类型的统计数据变化情况
PHP通常用来开发Web应用。对于Web应用来说,传统的Web网络层的防护手段,如防火墙、入侵检测系统、入侵防御系统等,无法阻止或检测到Web应用层的攻击。攻击者一旦发现Web漏洞就可以穿透网络层,直接对后面的业务层数据库、文件系统、服务器发起攻击,毁坏或窃取企业数据。2、PHP项目安全问题产生的原因
研发人员的