PHP: Pretty Hard to Protect?

Um levantamento na base de dados do NIST (National Institute of Standards and Technology) mostrou que aplicações escritas em PHP detinham 43% das falhas de segurança de aplicações web em 2006. E a maior parte dessas falhas não eram do PHP em si, e sim de como os programadores – a maioria deles amadores, segundo o NIST – haviam escrito a aplicação. (fonte: SecurityFocus)

Para mim é um caso claro em que a facilidade de uso da linguagem (atrelada a sua produtividade) possibilita que até mesmo programadores inexperientes construam um aplicativo. Assim, pela inexperiência, cometem erros básicos, inclusive de segurança. O ColdFusion igualmente pode sofrer (mas felizmente não sofre) do mesmo mal. E isso é um questionamento tão comum que até está presente no CFFaq (Usando ColdFusion terei códigos ruins e mal escritos? De maneira alguma!).

A tecnologia ser segura por si só é apenas uma das pontas. Se o desenvolvedor não escrever código seguro, não adianta. É como eu digo em apresentações: a Volvo afirma que seu carro é o mais seguro do mundo, mas eles nunca dizem com quem dirigindo. Segurança não é apenas questão da tecnologia, e sim do uso. Fazer bom uso é que são elas. E isso vale para qualquer segmento: energia nuclear te lembra algo?


One Comment on “PHP: Pretty Hard to Protect?”

  1. Reinaldo disse:

    PHP = Linguagem mais utilizada fa Web ( a quantidade de sites que usam PHP é 3 vzs maior que a quantidade de sites que usam ASP ou ASP.net, que por usa vzs é a segunda linguagem mais utilizada ). Portanto este “levantamento” está mais para constatação do óbvio, inerente à probalidade.

    As comparações entre linguagens de programação realizadas por instituições acedemicas mostram sem excessão que o PHP é a linguagem mais utilizada na WEB ,comparando JSP, .net e CFC , por ser a melhor linguagem nos quesito desempenho, segurança e flexibilidade.

    Apesar do PHP ter uma sintaze quase idêntica a do C, a curva de aprendizagem é reduzida devido a disponibilidade de material na internet sobre a linguagem. Comparando as outras linguagens citadas acima, a diferença sobre todas elas é brutal.

    Em resumo, PHP é uma linguagem que tem uma comunidade gigantesca, é para a WEB a melhor linguagem, isso já é um fato. Prova disso não esta somente nos benchmarks e comparações das mais diversas que existem por ai, basta ver que se pode fazer com o PHP usando MVC, Design Paterns, extensões e etc.Só para citar um exemplo dentre os mutios que só ocorreram ( até agora ) com o PGP, é o PHP-GTK. Mostrando que com uma linguagem “Web” estamos vendo nascer aplicações que estamos acostumas a ver em C++.

    Eu vim do C++ e escolhi o PHP devido a estes fatos. Alguem já viu alguem sair do C ou do Java para ir programar em CFC por exemplo? Claro que não.

    Aproveitando vo dexa uma questão para quem puder responder.
    Quem faz aplicações, em CFC, por mais limitadas que elas sejam, pode ser considerado programador?