【发布时间】:2013-01-18 18:13:49
【问题描述】:
我目前正在开发一个最终会在商业上可用的 PHP CMF,我想使用特征。然而问题在于,trait 是 PHP 5.4 的一个特性,而且很明显流行的 Suhosin 安全补丁与 PHP 5.4 不兼容。
所以我的问题是:在没有 Suhosin 安全补丁的情况下运行 PHP 网站是否安全?如果不是,我会给自己和其他使用我的 CMF 的人留下哪些漏洞?
注意:我不关心共享主机。预计任何使用我的 CMF 的人都可以对其 Web 服务器进行管理控制。
【问题讨论】:
-
如果你可以使用
<?php echo 'hello world'; ?>来颠覆一个网站,那么你应该是一名渗透测试员。一个网站的安全与否与您所做的一样。 -
我不明白,为什么关闭了?这是一个完全有效的问题。
-
因为您只是在询问“我的系统是否安全”而没有任何关于您系统的详细信息。你的网站只是一个hello world吗?它会为美国银行做网上银行吗?它们在安全要求方面是完全不同的,对于如此广泛的问题,绝对没有人可以为您提供任何有效的答案。
-
不,这根本不是我要问的。我在问 PHP 5.4 是否有 Suhosin 为 5.3 修补的任何已知漏洞,因此我应该坚持使用 5.3 + Suhosin 还是升级到 5.4。我问这个是因为很多人建议不要在没有补丁的情况下使用 PHP。
-
我觉得这是一个有效的问题。我们可以将其重构为:Suhosin 在 PHP 5.3 中解决的漏洞在 PHP 5.4 中是否存在/显着。