Как мы знаем, Сухосин укрепляет PHP и добавляет еще один уровень безопасности. Но, к сожалению, официального релиза PHP 5.4 / 5.5 нет (который я все равно могу найти).
Это ставит меня перед небольшой дилеммой. Должен ли я использовать более новый PHP 5.4 / 5.5, который, как я полагаю, более безопасен, чем старый 5.3, или я предпочитаю более старый PHP 5.3, но с патчем для повышения безопасности Suhosin?
В настоящее время на моем локальном компьютере я запускаю свой код с PHP 5.3.5, поэтому в PHP 5.4 / 5.5 нет ничего такого, что я необходимость чтобы мои скрипты работали. Однако в этом проекте безопасность превыше всего!
Что рекомендуется в этом случае? Или это не важно? Похоже, у Сухосина есть несколько хороших заплат.
Спасибо
Самая безопасная версия PHP - это та, которую вы постоянно обновляете. Какая версия (и связанные библиотеки) поддерживаются вышестоящим поставщиком (вашим дистрибутивом Linux, если вы используете Linux). Вы сами создаете двоичные файлы? Если это так, убедитесь, что вы выделяете время, необходимое для того, чтобы не отставать от всех исправлений безопасности, не только в PHP, но и в библиотеках, необходимых вашему приложению.
Расширение Suhosin Extension v. 0.9.36 доступно на suhosin.org и github. Поддерживаемые версии PHP: PHP 5.4 и PHP 5.5.
Патч Сухосин еще не перенесен на текущие версии PHP.
Даже без дополнительных патчей PHP из Suhosin Patch текущая версия PHP с расширением Suhosin определенно более безопасна, чем устаревшие версии PHP <5.4, которые официально больше не будут получать исправления, связанные с безопасностью.
Suhosin предоставляет широкий спектр улучшений, связанных с безопасностью для PHP, включая
Помимо поддержания актуальности вашей установки PHP, эти функции могут обеспечить явное преимущество в защите вашего приложения, которое PHP не мог бы предоставить в противном случае из коробки. Это может представлять особый интерес при запуске сторонних приложений и приложений с закрытым исходным кодом / зашифрованных приложений, где качество кода неизвестно.
Сухосин - это старая идея / концепция, которая действительно больше не актуальна в наши дни. Это так же плохо, как люди, которые думают, что отключение функций PHP делает сервер безопасным. Просто обновляйте PHP и сосредоточьтесь на защите сервера и служб.