Þetta hef ég bara aldrei heyrt …. afhverju ætti PHP að vera óöruggt?

Auðvitað er hægt að skrifa óöruggan kóða í PHP eins og hvaða forritunar/scripting máli sem er ….

…. ég get ekki séð að PHP sé eitthvað óöruggt annars …

php er per se ekki óöruggt… hins vegar er mjög auðvelt að skrifa óöruggan kóða… sem skrifast þá á þig.

Svo lengi sem þú ert paranoid og treystir ekki á það sem vafrinn sendir til þín þá ættirðu að vera öruggur.

T.d. ef þú býst við því að fá sent inn id á frétt þá skaltu passa upp á það að þú sért að fá tölu senda inn… ekki SQL streng<br><br>–
Summum ius summa inuria

php er öruggt, en maður verður að passa sig, nota dullkóðun á kökur og annað álíka.

Ef þú ert að skrifa eitthvað sem krefst mikils öryggis eru til aðrar lausnir sem bjóða upp á meiri tryggingu.

Ég hefur sýnst php vera í flestum tilfellum vera notað sem LAMPi, þ.e.a.s. Linux/Apache/MySQL/PHP, algengt er að allt draslið sé á sama servernum (eða PC jafnvel) sem plöggaður er beint út á netið og SQL setningar eru embeddaðar í php-scriptur.

Ég er alls ekki að segja að þetta sé raunin í öllum tilfellum en þetta hef ég séð víða.

Þar sem þetta eru textaskrár sem eru túlkaðar hefur sá sem vill brjótast inn ansi miklar upplýsingar ef hann kemst inn á vefþjóninn og getur skoðað skjölin, tengistrengir við grunn, sql sem lýsir töflum o.fl. er allt berskjaldað og gamanið byrjar.

Ég þekki ekki til ASP en í JSP þar sem servlets og taglibraries eru notuð er þessi kóði þýddur sem gefur smá auka-öryggi (ekki að það sé ekki hægt að decompila klasana).

Mesta öryggið í java og JSP er þó að geta notað baunir sem keyrðar eru á viðfangamiðlara (application-server) og taka bara við inntaki frá vefþjóni sem passar í fyrirspurnirnar og hægt er að gera varúðarráðstafanir fyrir trójuhestum o.fl. þar.

Ef viðfangamiðlarinn er keyrður bak við eldvegg sem hefur eingöngu samskipti við vefþjóninn og gagnagrunninn ertu búinn að ná fram töluverðu öryggi, enþú verður aldrei 100% öruggur fyrir innbrotum.