近日我看了一个关于PHP的新闻,大概内容如下:
网络技术应用研究公司 W3Techs 近日表示,根据所有网站使用 PHP 版本的情况,从2019年1月1日起,有近62%的网站将会因为无法获得安全更新,而受到恶意攻击。
根据 W3Techs 的调查,从本月 15 日开始,其研究的网站样本中使用的 PHP 的比例高达 78.9%,使用 PHP 5 的网站的比例达到 61.8%。 在子版本中,使用 PHP 5.6 版的网站的比例为 41.5%,使用版本5的比例最高。
根据 PHP 官方网站列出的支持版本及时刻表(如下),PHP 5.6 于 2014 年发布,主要支持已于2017年1月19日关闭,安全支持将于 2018 年 12 月31 日终止。
较新的 PHP 7.0 将不再在今年 12 月 1 日的 EOL(生命周期结束)提供安全支持。 即便是版本 7.1 也将于12 月 1 日终止。一年后结束安全支持。
我相信很多做PHP行业的人瞬间感觉压力山大,甚至感觉PHP无前途可言,其实没必要这么悲观。
因为就现实而言,如果不是新项目,谁没事去升级成新的PHP版本呢?还有很多的项目都是用的PHP5.2、PHP5.3开发的,你不可能去升级对吗?因为升级真的是很麻烦,需要改很多的东西。(N年以前我在一家公司接手了别人烂尾了的项目,我们团队几个人继续接过来开发,项目开发完成后,还有多余的时间,项目以前用的是PHP5.2,我们团队提倡升级成PHP5.6,结果搞了2天也没有完成,总是有很多的BUG,为了不继续浪费时间,我们直接还是使用的PHP5.2,瞬间项目正常。)
解决办法
针对这个问题,并不代表就没有解决办法!
我们先:假设有人想针对PHP版本号的网站来攻击,那么:他首先就得先知道你的网站PHP版本号是多少对吗?如果我隐藏了PHP版本号呢?这样你就不能针对PHP版本号的来做攻击了吧!
PHP版本号隐藏方法也非常的简单,只需要在 php.ini 文件里设置 expose_php = off ,就可以减少他们能获得的有用信息。
具体方法请查看:
总结:仅仅只是隐藏PHP版本并不能解决所有的攻击,也有人说PHP还有函数漏洞......等等,其实,PHP编程是没漏洞的,主要是写代码的人。如果我们写的程序不是很严谨,完全可以做一个CDN或类似安全狗的服务来巩固项目的安全。
2021年08月04日 10:54:19 沙发
如果用的是Wordpress总是要升级,其他开源程序补漏洞也是要更新。
2021年08月04日 12:28:48 1层
@巴图鲁 对
2021年06月15日 14:45:42 板凳
每次php升级都会产生兼容问题需要解决,好麻烦,蛋疼的是主机还无法不升级
2021年06月15日 16:16:10 1层
@云点 很正常。
2019年01月07日 02:30:20 地板
7.1也只剩下1年更新时间,看来只能用 7.3了,这样就能支持 2年多。
2019年01月07日 13:59:34 1层
@webkv 是的,其实还是有很多人的老项目不会升级的,麻烦。
2018年11月06日 22:01:02 4楼
我也有打算让我的php网站不更新版本号,两个字:麻烦!
2018年11月06日 22:05:41 1层
@我爱狄龙 其实,我相信很多人都跟你一样。