みかログ

[security] 1) 例えば、Webサイトに書かれている事を鵜呑みにしないより

より良いWebアプリケーション設計のヒント 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。

takesakoさんから聞いたネタなんだけど、アフォか(一刀両断
Javaや.Netや他のLLを使ったところで実装者の知識が足りなければ簡単にセキュリティホールは発生します。
逆に、「PHPだから短時間で素早くサイトを作れる」わけじゃありません。
素早くサイトを立ち上げること「のみ」に着目して作るからセキュリティホール作ってるんじゃないかと。

このサイトを見ている人がこういった妄言に振り回されないことを切実に願います。

元記事にはいろいろつっこみどころはあると思うけど，PHPのセキュリティが弱いのは事実じゃないのかな．

知識のある人がちゃんとコードを書いた場合でも，PHP言語自体に脆弱性が見つかる事が多いので，PHPの方がセキュリティ上のリスクは大きいと言えるのではないかと．
この記事では，セキュリティの知識を得た上で作っても，（過去の脆弱性の発生状況から見て）PHPを使うとリスクが高い，と言っているだけだと思う．

素早くサイトを立ち上げる場合は，JavaよりはPHPの方が適しているのは事実だと思うし，素早く立ち上げようとしている人はセキュリティに関する知識がないと仮定するのもいささか乱暴かと．．．

なぜPHP本体にバグが多いのか?に

PHP開発者の意識
すべてのメモリ関連問題，すべてのクラッシュは，セキュリティ上の問題となる可能性があり修正されるべき問題として対処しなければならない，と筆者は考えています。自分が攻撃コードを考案できなくても，ほかの人は攻撃コードを考案できるかも知れません。一つ一つは軽微な問題でも組み合わせて利用して重大なセキュリティ問題が発生したりします。互換性・拡張性を犠牲にしてでもセキュリティ上の問題を適切に解決しなければなりません。しかし，残念ながらPHPの開発者には同じ考えを持たない開発者もいます。昨年PHPソースコード監査の第一人者であるStefan Esser氏がPHPセキュリティレスポンスチームを去ったのは，PHP開発者のセキュリティ意識に失望したためです。

なんて書かれている事からも，セキュリティに対する配慮が微妙なのではないかと思えるし．
（この辺は最近改善しているのかもしれないけども）