На веб-приложения, написанные на языке PHP, приходится 43 процента всех проблем, связанных с безопасностью информационных сетей. Таковы результаты исследования, проведенного в текущем году американским Национальным институтом стандартов и технологии (NIST). В 2005 году на долю приложений на платформе PHP приходилось всего 29 процентов уязвимостей. С учетом того, что число брешей в самом языке минимально, цифры NIST показывают, что проблема кроется в разработчиках, многие из которых не являются профессионалами в области информационных технологий. Проблемы с PHP приобретают особую остроту в тот момент, когда исследователи сферы информационной безопасности стали обращать особое внимание на бреши в веб-приложениях. В начале этого года один из экспертов обратил внимание на тенденцию роста брешей в веб-приложениях в целом и приложениях, реализованных на PHP в частности. По данным, собранным в течение первых 9 месяцев текущего года, веб-приложения заняли три верхних позиции в списке самых распространенных уязвимостей. Например, в сентябре 45 процентов инцидентов в области информационной безопасности были связаны со случаями кросс-сайт скриптинга, внедрением багов в базы данных или уязвимостей, связанных с изменением PHP файлов. В настоящее время PHP используется приблизительно в 20 миллионах доменов и 1,3 миллиона IP-адресов. Популярный язык программирования стал объектом особого внимания на прошлой неделе, после того, как группу разработчиков языка покинул Стефан Эссер (Stefan Esser), занимавшийся обеспечением безопасности PHP. В качестве причины своего ухода Эссер назвал нерасторопность других разработчиков в плане ликвидации угроз безопасности. В свою очередь, члены PHP Group заявили, что Эссер покинул их из-за того, что потерял интерес к разработке в составе их команды. Согласно данным NIST, по состоянию на 15 декабря из 6198 уязвимостей, зафиксированных в 2006 году, 2690 (или 43 процента) содержали в описании слово «PHP». «Я думаю, обычным людям тяжело создавать безопасные динамические веб-приложения. Языки для создания сайтов должны быть адаптированы под "чайников" максимально возможно. Во многих случаях я, будучи профессионалом в области безопасности, ломал голову над тем, как укрепить безопасность кода. Я хотел укрепить ее, но для меня не было очевидным, как это сделать», — заявил представитель NIST Питер Мелл (Peter Mell).
бред. в перле возможны те же скл-инъекции и свои баги там есть. в асп те же скл-инъекции. что они придрались к пхп - не понятно
Как мне кажется просто из за того что PHP имеет большее распространение чем другие языки...поэтому и придрались... а на asp блин редко мне сайтеги попадались чтоб инъекция была...
А я видел не раз. +1. Вспомним, сколько наездов было на Perl, когда была распространена бага с отсутствием фильтрации аргументов open() и возмжностью открытия пайпа. Если руки кривые - ничего не поможет. А мне показалось, что к PHP, перечитай: «Я думаю, обычным людям тяжело создавать безопасные динамические веб-приложения. Языки для создания сайтов должны быть адаптированы под "чайников" максимально возможно. Во многих случаях я, будучи профессионалом в области безопасности, ломал голову над тем, как укрепить безопасность кода. Я хотел укрепить ее, но для меня не было очевидным, как это сделать», — заявил представитель NIST Питер Мелл (Peter Mell). Явные наезды в сторону PHP
да б**** всякие м***** б**** программисты б**** недоделанные б**** лезут с*** б** ни х** не знают б**** потом б** ноют б**** и абузят с***
PHP самый самый. И всё это знают. а то, что кто-то вставляет в страницу форму и пишет "Сдесь можно залить шелл и выполнить ваши команды", это их проблемы.
43 процента да и понятно почему потомучто 43 процента юзверей предпочитают халяву в виде бесплатных движков и тп и тд а со стороны разрабочиков естественно нет стремления делать код близкий к идеалу да ктомуже за бесплатно