為什麼需要 PHP Suhosin？PHP 不是已經為安全性打了更新檔嗎？

我打算建立一個 Linux-VPS 並在其上執行一個 PHP 站點。我已閱讀建議使用PHP Suhosin來修補PHP以確保安全。但是 PHP 不是在每個新版本中都為安全性打了更新檔嗎？還是 PHP Suhosin 使安全性比 PHP 自己計劃做的更好？還是 PHP Suhosin 僅適用於舊版本的 PHP？

我認為您應該從不同的安全方法來理解這一點。Suhosin 更新檔改變了一些處理變數和流的基本方式，並對語言的可能性採取了更加強硬的方法。並不是說 PHP 本身沒有被修補以包含針對已知妥協的保護，而是作為一種語言，他們選擇允許某些類型的風險更大的行為。就可能的攻擊面而言，根據其他人的想法來修補應該允許和不應該允許的內容可能會為您提供一個更安全的平台，但它也可能會限制您可以執行的 PHP 軟體。一些 PHP 包可能無法很好地響應更嚴格的規則。

如果您是從頭開始編寫自己的軟體，聽起來 Suhosin 更新檔集可能是個好主意。您應該學習最佳實踐技術，而最受限制的語言可能就是這樣做的方法。如果你有一些與修改後的 PHP 不兼容的包要執行，你可能沒有這種奢侈。

引用自：https://serverfault.com/questions/192011