据国外最新的调查研究显现,脚本言语尽管使用面很广,但也带来了为数不少的Web使用潜在的安全缝隙,给数以百万计的网站增加了安全隐患。
研究人员发现PHP——以及不那么受欢迎的经典网络开发言语ASP 和ColdFusion——为最风险的网络编程言语,而Java与最安全的两大言语。
Veracode研究报告使用了一个共同的衡量单位:缝隙密度/MB,意味着在源代码中每MB数据中所含的安全缝隙数量。
PHP虽位列第三,但实际上应当被认为是最易呈现缝隙的言语,由于ColdFusion 是一个高端的小众东西,而经典的ASP简直已无什么人使用了。
56% 的app中包括SQLi(SQL注入),闻名的也是很风险且易被使用的web使用缝隙之一;
在上面的问题中,SQLi与XSS是OWASP前十的最风险网络使用程序安全缝隙。
SQL注入缝隙——答应黑客与网站数据库直接交互——也是之前闻名的儿童玩具厂商VTech 与英国最大的电信公司TalkTalk许多数据走漏的元凶巨恶。
少于四分之一的Java app中存在SQL注入缝隙,而剩余的超越四分之三的含SQL注入缝隙的使用都是以PHP编写的。
“当公司进行一项新的项目开发与挑选言语和方法论的时分,安全小组有时机猜测许多类型缝隙的产生几率以及怎么测验它们并终究挑选一个对他们来说最适合的言语。”Veracode的首席技能官Chris Wysopal主张。
