PHP 5.4は、最終的にsafe_modeと魔法の引用符を削除しました。
それらに代わるものはありますか?セキュリティレベルを強化するには?
1 に答える
4
これらの機能を削除するポイントは、PHP 開発チームが、アプリケーション スタックにセキュリティ機能/メカニズムを実装することは、Web アプリケーションを保護するための万能薬ではないことを認めていることだと思います。
PHP には、これらの機能の直接的なコード/構成の代替物があってはなりません。その代わり:
- アプリケーション開発者は、リクエストや環境からの値の読み取り、および値の検証とエスケープなどについて、機能に無差別にライク
register_globalsさせたり、そうさせたりするのではなく、より明確にする必要があります。magic_quotes safe_modeシステム エンジニアとシステム開発者は、組み込み関数のアクセシビリティと有効性を制限するのではなく、アプリケーションが必要とするすべてのファイル システム リソースに対するアクセス許可を検討する必要があります。
誰かがこれらの機能を再作成する方法を見つけようとするだろうし、セキュリティに直接対処するのではなく、以前のバージョンの PHP にとどまることを選択する多くの後期採用者がいるでしょう。ただし、セキュリティが本当に心配な場合は、ショートカットを探す必要はありません。
于 2011-06-14T17:54:51.717 に答える