PHP开发语言安全性分析

    电子商务的迅速发展和逐步广泛的应用, 网上交易和网上支付对网站的安全性要求更为重要。PHP 脚本语言存在严重缺陷影响多个 Web 服务器系统安全, PHP 在处理 HTTP POST 请求的代码中存在一个严重安全问题。依赖于处理器的体系结构, 远程或者本地攻击者利用这个漏洞, 将能以 Web 服务器运行权限执行任意指令或者造成 Web 服务器崩溃; 还有如 PHP 的 CURL 函数存在一个问题, 本地攻击者可以利用这个漏洞使脚本绕过' open_basedir' 目录设置, 此漏洞目前厂商还没有提供补丁。

    PHP 的另外一个特性是执行外部命令, 这是在 linux、unix 系统中最容易出问题的; ASP 只在服务器端运行, 将执行结果以 HTML 形式返回客户端浏览器, 虽然如此可以屏蔽源码程序, 但微软的 Web 服务器产品存在若干的系统级安全漏洞, 微软公司的网络信息服务软件(IIS) 存在严重的安全漏洞, 如 IIS 4.0/5.0/5.1ASP(Active Server Pages)ISAPI 过滤器存在远程缓冲区溢出漏洞, 远程攻击者可以利用此漏洞得到主机本地普通用户访问权限; JSP 执行时先编译成字节码, 再由 Java 虚拟机执行, 源码相对不易被下载, 尤其在用了 JavaBean 后安全性更高,JavaBean 程序完全可以放到不对外的目录中, Java 能通过异常处理机制来有效防止系统的崩溃。