PHPの脆弱性ってどうなったんでしょうか？

PHPの脆弱性ってどうなったんでしょうか？

初心者でもとっつきやすいと聞いたのでPHPを勉強しようと思っています。
ところがウィキベディアを読んでみると、PHPには重大な脆弱性があるとのことでした。
でも、最近はPHPを使ってサイトを作ってるところが多いですよね（OKWaveもそうですよね）。

多くの企業のサイトなどが使用しているということは、この脆弱性は解決されていると見て良いのでしょうか？
それとも脆弱性とは単なるプログラムの書き方の問題で、システムに問題があるというより自由度が高いので危ないものも作れるということでしょうか？
何に気をつけたら良いのでしょう？
よろしくお願いします。

No.1 ベストアンサー 回答者： yambejp 回答日時： 2010/10/14 14:55

結論からいえばシステムの脆弱性は使用者のスキルと意識によって

さほど問題ではないということです。

本質の話、システム的な脆弱性は発見されるたびに修正がかけられるので
情報管理担当が気をつけてアップデートすれば特に問題ありません。
それはどの言語をつかっていても大なり小なり発生することです。

どちらかというと、使用者の凡ミスが脆弱性につながる方が問題です。
register_globalesの使い方など、以前はセキュリティがあまい設定でした。
推奨環境はよりセキュアなデフォルトに変わってきています。

またextract()の使い方など意識の低いユーザーが致命的なミスを誘発する
ケースもあります、こうなるともうプログラム提供側ではなんともしようがありません。

この回答へのお礼

やはり使用者の使い方によるんですね。
いろいろなサイトで使われているところを見ると、システム的なところは改善されてるようです。
PHPが初心者でもとっつきやすいのは、乱暴なソースを書いてもとりあえず動くからで、それがセキュリティ上ではデメリットになると聞いたことがあります。
どこが危ないかと考えながら使う必要がありますね。
ありがとうございました。

お礼日時：2010/10/18 15:21

No.2 回答者： tenderfeel 回答日時： 2010/10/18 14:08

脆弱性というものは人が何かを作る過程で生み出すものです。

言語自体にバグがあるということもありますが、言語も人が作っているものなのでその点は変わりません。

PHPは開発環境の敷居や言語自体の難易度が低いので、JavaScriptに並んで選ばれやすいのは確かです。
大抵の人は最初、入門サイトとか初心者向けのチュートリアルなどを見ると思いますが、
初心者向けに書かれているソースはそのまま使うと危険なものが多いです。

基本中の基本としてよく言われるのは「クライアントから送信されてきたデータを信用するな」ということです。
何かソースを書いたとき、それを自分以外の人間に使わせても問題はないだろうか？と一石投じてみることが大事だと思います。

この回答へのお礼

初心者向けのソースは危険ですか・・・。
そう聞くとなんだか怖いですね。初心者なんだから、どうしても真似てしまう部分もあるでしょうし。
自分以外の人間に使わせて大丈夫か？
初心者なりにこれを常に考えながら勉強していきたいと思います。
ありがとうございました。

お礼日時：2010/10/18 15:25