从W3Techs 发布的历年服务器端编程语言使用趋势报告显示,近十年来 PHP 在份额上依旧牢牢占据榜首的位置,报告从 2013 年开始一直持续到 2024年。可以看到 PHP 始终占有 75% 以上的份额,几乎没有遇到比较大的波动。尽管最近几年 PHP 不再流行,大家也一直拿“PHP 是世界上最好的语言”来进行调侃,但从数据上看 PHP 仍是迄今为止最常用的服务器端语言。
PHP 占比如此高的一个重要原因就是其简单易用,学习门槛低,但这也导致了很多应用在研发过程中存在着各种漏洞,而这些漏洞在不关注安全代码设计的人员眼里几乎是不可见的。
因此本社群我们将着重讨论 PHP 的项目安全研发问题,引导研发人员对PHP项目安全问题进行深入思考,提高安全意识与技能。
01 不可信原则
PHP主要负责后端服务的运行,而后端服务的执行通常会需要从用户手里获得相应的输入数据,虽然我们会通过前端页面约束用户的输入数据,但只要是对外公开的服务,你就不能相信用户一定会按照你的预期来提交你想要的数据,例如他们可以通过一些工具直接脱开你的前端页面来提交数据,所以在执行后端服务之前,你必须要检查所有