PHP SuHosin——我的代码已经安全了……需要吗？

Question

我相信我已经非常安全地设置了我的代码，它验证和清理用户输入，因此它是安全的，等等。

那么我需要SuHosin吗？（这是 PHP 的安全添加/补丁）

如果我的代码已经安全，它对我有什么帮助？
例如，我读到 SuHosin 有助于防止远程包含，但如果我的代码首先不使用远程包含，那怎么会是威胁？

Answer 1

这归结为两个简单的问题，

SuHosin 在您已经安全的应用程序之上提供了额外的安全层，以覆盖您自己的代码中确实存在漏洞的那些不可避免的情况。

没有一段代码是 100% 安全的，因为没有一段代码是 100% 没有错误的，谁知道如何利用这些错误。

此外，您不知道 PHP 或您使用的 PHP 模块中存在哪些错误或漏洞。SuHosin 也可以保护您免受这些侵害。

总之，

是否使用是个人选择，混合使用，

您将一个与另一个交易，高影响和低开销 = 去做，低影响和高开销 = 可能不会打扰。

您的脚本正在由 PHP 执行，任何对 PHP 的攻击都可能暴露您的整个服务器。第二个问题过于宽泛，无法发表评论。 (3认同)
Suhosin 为一堆不同的资源（输入查询、变量名称和内容、硬内存限制等）添加了*许多*限制，并确保许多数字不会在生产服务器上变得疯狂是*的好方法稳定*和*可预测*的应用程序。OTOH 一些未完成的请求将失败，您可能需要在对您有意义的地方设置一些限制。我见过的大多数 Suhosin（默认）限制越过令人发指的滥用行为。 (2认同)