一、PHP5.6大限將至，安全問(wèn)題首當(dāng)其沖
       2018年11月4日，中央網(wǎng)信辦發(fā)布了一篇名為“開(kāi)啟網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略新征程——黨的十八大以來(lái)我國(guó)網(wǎng)絡(luò)安全和信息化工作綜述”的文章，其中提出了“ 沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”的概念。這讓筆者不禁聯(lián)想近期PHP網(wǎng)站的一個(gè)事件，自2018年12月31日起，PHP官方組織即將停止對(duì)PHP5.6版本的支持，目前距這個(gè)時(shí)點(diǎn)只有不到1個(gè)月的時(shí)間，屆時(shí)將有數(shù)百萬(wàn)個(gè)網(wǎng)站和用戶面臨潛在風(fēng)險(xiǎn)。

       當(dāng)然，停止更新是信息化時(shí)代所有IT相關(guān)產(chǎn)品的必然宿命，例如微軟會(huì)保持對(duì)Windows產(chǎn)品的有限時(shí)限的更新支持。在PHP每個(gè)語(yǔ)言版本發(fā)布之初，也明確說(shuō)明了每個(gè)穩(wěn)定版本發(fā)布后的2年里會(huì)得到完全支持，并于其后1年中提供有限支持。
       事實(shí)上從18年前，即從2000年10月20日PHP組織第一次宣稱不支持PHP3.0開(kāi)始，其間一共對(duì)12個(gè)版本的PHP宣布過(guò)不提供支撐。到2016年7月21日，最后一次顯示對(duì)PHP5.5不提供支持，而2018年12月31日，將正式停止對(duì)PHP5.6的安全支持。但考慮到受眾廣泛，PHP也一再延長(zhǎng)對(duì)PHP5.6的支持時(shí)間?？v觀各個(gè)版本的PHP，PHP5.6版本支持時(shí)間在各個(gè)版本中相當(dāng)長(zhǎng)，已經(jīng)超預(yù)期提供技術(shù)支持1年。

二、成也蕭何、敗也蕭何，最受歡迎的PHP也更容易產(chǎn)生風(fēng)險(xiǎn)
    PHP5.6是各個(gè)版本中支持時(shí)間最長(zhǎng)的一個(gè)，同時(shí)這里蘊(yùn)含的風(fēng)險(xiǎn)也大。數(shù)據(jù)統(tǒng)計(jì)顯示，超過(guò)60%的網(wǎng)站用戶將面臨潛在風(fēng)險(xiǎn)。在數(shù)據(jù)占比方面，據(jù)W3Techs.com數(shù)據(jù)顯示，截止2018年11月，服務(wù)器端編程語(yǔ)言，PHP依然是一家獨(dú)大，占比達(dá)到了78.9%。

       而令人感到不安的是，而整個(gè)PHP的后臺(tái)語(yǔ)言里，超過(guò)77.2%的版本依然是PHP5.0系列，僅有22.1%的版本升級(jí)到了PHP7.0。

       即使是考慮到重要性程度而言，PHP依然是碾壓包括Java在內(nèi)的眾多語(yǔ)言。不僅在市場(chǎng)占有率方面獨(dú)樹(shù)一幟，即使是最流行的網(wǎng)站里，PHP也并不過(guò)多的落后于Java等語(yǔ)言。

       換句話說(shuō)，按照目前的情況看，到了2018年之后，將有超過(guò)61.46%的網(wǎng)站脫離PHP的技術(shù)支持，存在安全漏洞風(fēng)險(xiǎn)。
      三、PHP依然具有突出的健壯性，但專業(yè)的技術(shù)服務(wù)缺乏將是最大的安全風(fēng)險(xiǎn)
       回顧PHP的誕生歷程，已經(jīng)有20多年歷史。PHP經(jīng)歷了Web1.0，Web2.0，移動(dòng)互聯(lián)網(wǎng)3G、4G等各個(gè)時(shí)代，期間受到包括ASP等各種編程語(yǔ)言的挑戰(zhàn)，但除了在超大型企業(yè)和傳統(tǒng)軟件行業(yè)外，PHP依然處于絕對(duì)優(yōu)勢(shì)。
      而這一結(jié)果得益于PHP遵從實(shí)用主義，具有入門(mén)簡(jiǎn)單、容易掌握、標(biāo)準(zhǔn)庫(kù)強(qiáng)大、各種功能函數(shù)非常便于使用、第三方類(lèi)庫(kù)、工具、項(xiàng)目豐富等優(yōu)點(diǎn)。憑借靈活、便捷、開(kāi)發(fā)周期短的特點(diǎn)，PHP得到小規(guī)模開(kāi)發(fā)公司和程序愛(ài)好者的青睞，在中低端網(wǎng)站開(kāi)發(fā)市場(chǎng)占有絕對(duì)優(yōu)勢(shì)地位?？梢哉f(shuō)，網(wǎng)站建設(shè)行業(yè)多年來(lái)形成數(shù)量龐大的“個(gè)體戶”，且水平良莠不齊。很容易看到，市面上大部分模板建站供應(yīng)商都是使用PHP開(kāi)發(fā)語(yǔ)言,大部分網(wǎng)站也是PHP語(yǔ)言開(kāi)發(fā)或PHP模板系統(tǒng)生成。
      但另一方面，PHP語(yǔ)言也是病毒、木馬的最?lèi)?ài)。同時(shí)，考慮到PHP標(biāo)準(zhǔn)庫(kù)缺乏一致性，導(dǎo)致很多初學(xué)者不恰當(dāng)使用導(dǎo)致開(kāi)發(fā)出不良的架構(gòu)系統(tǒng)。
      為對(duì)于未來(lái)而言， PHP漏洞攻擊者主要目標(biāo)不是在PHP本身，而是在PHP函式庫(kù)及CMS系統(tǒng)如果沒(méi)有專業(yè)的技術(shù)服務(wù)支持，網(wǎng)站有可能淪為色情賭博網(wǎng)站，由此產(chǎn)生的品牌受損甚至政治風(fēng)險(xiǎn)將無(wú)從估量。
      四、主動(dòng)應(yīng)變，專業(yè)技術(shù)服務(wù)最為優(yōu)勢(shì)
      可以預(yù)見(jiàn)到的是，過(guò)了2018年底大限，黑客會(huì)更積極地在PHP 5.6以及以前版本中找到漏洞。但據(jù)計(jì)世資訊(CCW Research)對(duì)業(yè)內(nèi)人士交流所知，大多數(shù)用戶均不以為然，認(rèn)為可以“僥幸”在2019年繼續(xù)使用PHP 5.6以及之前版本，而這種“僥幸”也是最大的風(fēng)險(xiǎn)所在。也就是說(shuō)，除非客戶意識(shí)到他們的PHP版本已經(jīng)“不能使用”，否則很少有人會(huì)要求將其轉(zhuǎn)移到新的版本。
      （1）針對(duì)性打補(bǔ)丁，修復(fù)系統(tǒng)漏洞
      針對(duì)特定或主流的漏洞，推薦手工進(jìn)行過(guò)濾和修復(fù)，通過(guò)代碼的安全加固來(lái)完善自身系統(tǒng)的安全性能，還可以通過(guò)使用安全攻擊防御產(chǎn)品或軟件。
      （2）優(yōu)化技術(shù)架構(gòu)，采用云計(jì)算的模式保持技術(shù)先進(jìn)性
      通過(guò)優(yōu)化后臺(tái)語(yǔ)言，借助最先進(jìn)的云平臺(tái)集成化技術(shù)。云計(jì)算架構(gòu)的優(yōu)勢(shì)在于將服務(wù)層和基礎(chǔ)層、系統(tǒng)層，可以保持對(duì)PHP語(yǔ)言的實(shí)時(shí)更新，同時(shí)還可以保護(hù)客戶不受帶寬、存儲(chǔ)、計(jì)算能力的限制，此外，還可以增加負(fù)載均衡和安全策略保持系統(tǒng)安全。
      （3）選擇專業(yè)的技術(shù)服務(wù)商保持最新的技術(shù)服務(wù)部署
      對(duì)于優(yōu)秀的專業(yè)技術(shù)服務(wù)商而言，會(huì)始終默認(rèn)在新版本的PHP上部署新用戶，而不是讓客戶選擇、并且僅在請(qǐng)求時(shí)才將現(xiàn)有客戶端更新為新版本的PHP。目前行業(yè)內(nèi)主流的IT技術(shù)服務(wù)商阿里云、騰訊云、中企動(dòng)力等均有最新的安全策略。同時(shí)，專業(yè)的技術(shù)服務(wù)商也會(huì)幫組企業(yè)客戶在內(nèi)部和外部?jī)煞矫孢M(jìn)行安全提升，抵御攻擊者的進(jìn)攻效果會(huì)更加顯著。