Keamanan
Sebagai
konsekuensi kepraktisan dan kemudahannya, instalasi default PHP banyak memiliki
kelemahan keamanan. Variabel global di PHP dapat berasal dari masukan
pengunjung Web (dari GET/POST/Cookie), sehingga bila programernya ceroboh tidak
menginisialisasi tiap variabel sebelum pemakaian, seorang penyerang dapat
memasukkan nilai-nilai awal variabel ke dalam skrip untuk mengubah kelakuannya.
Sebelum PHP 3.0.18 terdapat bug pada file upload yang banyak dieksploitasi
untuk menembus banyak situs PHP. Dalam bug ini interpreter PHP dapat diakali
untuk menulisi file di filesystem server mana pun sesuai keinginan penyerangnya,
karena path dapat dimasukkan lewat form HTML.
Beberapa kelemahan ini
dapat dikonfigurasi atau dimatikan. Karena itu seorang programer PHP dan admin
perlu mengetahui opsi-opsi konfigurasi PHP agar sistem mereka lebih aman.
Kompilasi
Satu lagi isu terakhir,
saat ini tidak ada produk gratis untuk mengkompilasi kode PHP. Bandingkan
dengan Python atau Java misalnya, yang sejak awal sudah memiliki kemampuan
menyimpan hasil kompilasi bytecode ke dalam file. Artinya, sebagian vendor
aplikasi mungkin mempertimbangkan untuk tidak menggunakan PHP karena takut kodenya
dapat dilihat oleh klien/pembeli program. Ada produk bernama Zend Encoder untuk mengatasi
masalah ini, namun produk ini harganya mahal. Pertama diluncurkan dibandrol $6000
per mesin, meskipun kini—setelah diprotes habis-habisan oleh komunitas PHP—“hanya”
berharga sekitar $2000 dan juga ada opsi pembayaran berlangganan (meskipun ini artinya
pengembang aplikasi harus membayar terus-menerus pada Zend $50/bulan jika ingin
masih bisa mengkompilasi kode PHP-nya).
referensi by : master.web.id
Tidak ada komentar:
Posting Komentar