Назад | Перейти на главную страницу

Есть ли у apache / PHP проблема с переполнением, если разработчик вообще не настраивает ее?

Является ли apache / PHP самозащищенным, чтобы разработчикам не нужно было об этом заботиться?

Если у вас есть последние обновления каждого из них, и вы обязательно следите за ними, с основными программами все будет в порядке.

Проблема в том, что как конфигурация apache, так и php (php в очень широко открытой степени, поскольку это полный язык программирования) дать тебе много веревки, чтобы повеситься. Они очень мало делают для защиты, чтобы вы не могли настроить вашу систему небезопасным образом или написать (или просто развернуть) приложение, полное уязвимостей.

Итак, суть в следующем: да, если вы будете поддерживать их в актуальном состоянии, вы можете доверять им и сосредоточиться на обеспечении безопасности своей собственной конфигурации и кода php.

Несмотря на то, что говорит sysadmin1138, в apache или PHP относительно мало дефектов безопасности. Однако существует огромное количество рекомендаций относительно приложений, разработанных с использованием php. Дело не в том, что PHP изначально ошибочен, проблемы возникают по следующим причинам:

1) Начать работу с PHP как с языком программирования очень легко - барьеры для входа очень низкие - поэтому существует огромный диапазон качества и способностей людей, которые называют себя программистами PHP.

2) PHP предоставляет низкоуровневый доступ к HTTP-интерфейсу - и оставляет разработчику решать, как работать с такими вещами, как CSS, CSRF, внедрение кода, фиксация сеанса ... По сравнению с другими средами разработки, где это поставляется (но часто третьими сторонами).

На самом деле далеко не так. Оба являются очень универсальными средами, в которых ошибки конфигурации со стороны установщика могут существенно повлиять на безопасность данных, проходящих через систему. Когда подобные системы становятся достаточно сложными, качество кода становится меньше проблемой, а правильной конфигурацией становится больше.

Тем не менее, для обоих продуктов регулярно публикуются предупреждения о безопасности, требующие исправлений.

Кроме того, оба являются каркасами, на которые накладывается дальнейшая логика приложения. В этой логике могут быть ошибки и уязвимости, от которых не могут защититься структуры, на которых она построена.