Kann Sicherheit in PHP-Anwendungen nicht einfacher sein?
Zur Absicherung einer Webanwendung und des Servers sollte man verwenden (frei zusammengetragen aus unterschiedlichen Quellen):
- PHPIDS
- Suhosin
- neueste PHP-Version
- mysqli
- PHP Filter
- sichere php.ini
- ein sicheres Framework
- Bücher von Christopher Kunz, Stefan Esser, Chris Shiflett
Wie vielen der unzähligen Professionellen- ,Halbprofessionellen- und Anfänger – PHP-Entwickler steht auch nur ein Teil dieser Werkzeuge / Module / Versionen / Userrechte / Software / Literatur zur Verfügung? Wie viele sind sich der Gefahr bewusst, die im offenen Netz auf ihre ungeschützte Applikation lauert?
Ich glaube, dass noch in 10 Jahren sich kaum etwas bei der Sicherheitslage im Netz ändern wird, wenn von jedem PHP-Entwickler solche Hürden genommen werden müssen um auch nur ein (temporär) sicheres Produkt zu entwickeln.
Ein anderes Konzept muss her.