Non devi utilizzare PHP per il tuo sito web
Ci sono alternative migliori. Consulta ocsigen progettato da scienziati informatici che comprendono qualcosa sulla sicurezza informatica e in haxe. Ovviamente passerai mesi per impararlo e se scegli di usare ocsigen corri dei rischi commerciali (le persone e le aziende che lo mantengono potrebbero scomparire, il cosiddetto fattore bus). Ma conosco personalmente l'architetto e designer principale di Ocsigen e posso assicurarti che capisce un bel po 'di sicurezza informatica (metà della sua tesi di dottorato è su questo argomento).
Devo entrambi usalo o niente.
No, è sbagliato. Non devi usare PHP. Ad esempio, leggi questo blog sulla creazione del tuo sito web in C ++ e quello sulle tecnologie web in Common Lisp. Potresti utilizzare altri approcci (ad es. Server FastCGI scritti in C ++ o in Go, il tuo server HTTP specializzato scritto in C ++ ad es. Con libonion o con pistache o con CppCMS o Wt, in Go, in Common Lisp con SBCL). Con Rocket.rs puoi scrivere applicazioni web in Rust (e la comunità di Rust si interessa molto alla sicurezza informatica). Puoi programmare server web dinamici in SML. E molti server web ( Apache, Lighttpd, ...) possono essere personalizzati o adattati alle tue esigenze (ad es. Con i tuoi plugin scritti da te per loro) senza un solo bit di cose relative a PHP.
La mia opinione parziale è che i framework web al di sopra di Common Lisp o C ++ o Go o Rust siano solitamente progettati da informatici qualificati che per professione comprendono e si preoccupano della sicurezza informatica. PHP è stato progettato con una mentalità completamente diversa: essere in grado di codificare rapidamente siti Web dinamici. Al momento in cui è stato progettato PHP (1995), la sicurezza informatica non era una delle principali preoccupazioni, ma essere in grado di creare un sito Web dinamico dall'aspetto gradevole in pochi giorni era in pratica essenziale.
Ma qualunque cosa tu stia usando, ha un certo costo. Informazioni sulle esternalità. Leggi il lavoro accademico di J.Tirole su di essi (è un premio Nobel per l'economia; vale la pena leggere il suo articolo sulla semplice economia dell'open source e il più citato quell'argomento). Anche se è software libero (dal momento che il software libero riguarda la libertà, non il budget). Almeno non dimenticare il costo dei tuoi sforzi per apprenderlo e valutare i suoi aspetti di sicurezza informatica.
Se utilizzi librerie open source, hanno ancora un costo per te: bisogno di impararli, per valutarli. Di solito vengono forniti SENZA GARANZIA . Ma puoi acquistare il supporto per queste librerie.
Se utilizzi librerie proprietarie o componenti software, sei vincolato dal loro EULA.
La sicurezza è sempre un questione di compromessi.
Non puoi allacciare la cintura di sicurezza durante la guida, ma poi corri un rischio aggiuntivo e paghi per quello (ad esempio perché la tua assicurazione non ti coprirà se qualcosa va sbagliato, o perché ti prendi qualche multa). È lo stesso per le scelte del software.
Sii comunque consapevole del teorema di Rice. In un certo senso, dice che la piena sicurezza informatica è impossibile. Ma anche vivere è un'attività rischiosa. (Tu o io potremmo avere un attacco di cuore in poche ore).
Il tuo problema non è tecnico, ma sociale. Se utilizzi software open source, hai la possibilità di studiare ogni riga del codice sorgente ed essere convinto (o meno) che la sicurezza sia sufficientemente buona. Naturalmente, ciò potrebbe richiedere decenni (o secoli: un'intera distribuzione Linux è ora 20 miliardi di righe di codice sorgente). Ma la scelta è tua (e puoi delegare la valutazione della sicurezza di ogni componente software che stai utilizzando).