Skončil Měsíc PHP chyb

Školení, která pořádám

V březnu 2007 proběhla akce MOPB. Výsledkem je 41 odhalených chyb v PHP (z toho 19 dosud neopravených) a 3 chyby bonusové (2 v produktech Zendu, 1 v mod_security). Na stránkách projektu se v dubnu objevila další chyba, z čehož se dá usuzovat, že odhalování chyb bude pokračovat.

Chyby dosud neopravuje žádná verze, chystá se na to až PHP 5.2.2. V průběhu března také nevycházely žádné oficiální patche, o ty se ale starali správci některých Linoxových distribucí. O chybách se taky nijak zvlášť nediskutovalo v interní konferenci, komunikace ale pochopitelně probíhala spíš na neveřejné adrese security@php.net.

Jakub Vrána, Ze zákulisí, 13.4.2007, diskuse: 2 (nové: 0)

Diskuse

Marty:

Rad bych se zeptal na vas seriozni nazor, co se tyce srovnani bezpecnosti PHP vs. ASP, programuji v PHP pomerne dlouho, ale dosud jsem se o bezpecnost moc nezajimal, takze o tom tematu nevim prakticky nic. Na skole, kde studuji je napriklad zakazano programovat v PHP (psani dlouhodobych maturitnich praci v tomto jazyce), protoze pry obsahuje bezpecnosti diry.. Rad bych tento nazor vyvratil, doufam, ze je mylny :)

ikona Jakub Vrána OpenID:

PHP se Suhosin patchem považuji za slušně bezpečný systém. Jak je na tom ve srovnání s ASP (nebo spíš ASP.NET), nevím. Ale řekl bych, že zákaz programování v PHP je dán spíše nízkou bezpečností aplikací v něm vytvořených - to ale musí umět programátor řešit a ne před tím strkat hlavu do písku - ostatně se to často týká webových aplikací jako takových, i když to je v PHP třeba víc vidět.

Diskuse je zrušena z důvodu spamu.

avatar © 2005-2024 Jakub Vrána. Publikované texty můžete přetiskovat pouze se svolením autora. Ukázky kódu smíte používat s uvedením autora a URL tohoto webu bez dalších omezení Creative Commons. Můžeme si tykat. Skripty předpokládají nastavení: magic_quotes_gpc=Off, magic_quotes_runtime=Off, error_reporting=E_ALL & ~E_NOTICE a očekávají předchozí zavolání mysql_set_charset. Skripty by měly být funkční v PHP >= 4.3 a PHP >= 5.0.