Зачем нужен PHP Suhosin? Разве PHP не исправлен для обеспечения безопасности?

Я думаю, вам следует понять это с точки зрения другого подходить к безопасности. Патч Suhosin изменяет некоторые фундаментальные способы обработки переменных и потоков и использует более жесткий подход к тому, что вообще возможно с языком. Дело не в том, что сам PHP не исправлен для включения защиты от известных компромиссов, но в качестве языка они выбирают, чтобы разрешить определенные виды поведения, которые являются более рискованными. Исправление с помощью чужого представления о том, что следует и что нельзя разрешать, может дать вам более безопасную платформу с точки зрения возможной поверхности атаки, но также может ограничить вас в программном обеспечении PHP, которое вы можете запустить. Некоторые пакеты PHP могут не отвечать более строгим правилам.

Если вы пишете собственное программное обеспечение с нуля, похоже, что набор исправлений Suhosin может быть хорошей идеей. Вам следует изучить передовые методы, и наиболее ограниченный язык может быть лучшим способом для этого. Если вам нужно запустить какой-то пакет, несовместимый с модифицированным PHP, у вас может не быть этой роскоши.

В список функций на сайте Сухосин дает конкретные ответы на вопрос.

Вы должны отметить, что Сухосин не столько занимается исправлением дыр в безопасности в самом PHP - скорее, это касается закалка PHP, что является более широкой проблемой.

Как указывает Калеб, вы можете обнаружить, что какой-то сторонний PHP-код не работает под Suhosin. Если у вас есть что-то конкретное, вы можете задать конкретный вопрос о Suhosin для этого конкретного кода на соответствующем форуме или просто попробовать и посмотреть.

PHP исправлен для известный дыры в безопасности. Сухосин (как и SELinux) защищает PHP от неизвестно дыры в безопасности.