我一直想知道 Suhosin Patch 和 Extension 之间的区别?例如,我应该使用带有 Xcache 1.3.1 和 Zend Optimizer 3.3.0.a 的 PHP 5.2.17 安装其中的哪一个?应该是 Suhosin Extension 0.9.32.1 吗?补丁版本 PHP 版本是否特定于 PHP 5.3.4/5.3.3 的 Suhosin 补丁 0.9.10 和 PHP 5.2.17 的 Suhosin 补丁 0.9.7?
从安全角度来看,我也无法理解 Patch 和 Extension 之间的明显区别,它们有何不同?
区别很简单。一个(扩展)作为普通扩展运行,因此它保持与其他扩展的兼容性。另一个(补丁)没有,所以它可能会破坏其他 3pd 扩展。
现在,要考虑的一件事是,最新版本的补丁甚至都没有发布(最新的补丁版本是 5.3.4,所以你不能使用 5.3.5 稳定版)。现在,您可以安装旧版本的 PHP 来使用该补丁,但这会使您暴露在最新版本的核心关闭的漏洞中。恕我直言,这是不值得的。
现在,我想明确一件事。Suhosin(以及其他扩展/补丁和诸如 mod_security 之类的东西)实际上并不能保护您的代码。让我这么说吧,因为它很重要:它不会保护您的代码。它的作用是关闭一些常用的攻击向量,并禁用一些常用的内部功能。但是仍然绝对有可能在您的代码中存在漏洞。
因此,虽然它可能有助于“支撑”糟糕的代码,但它不会对好的代码产生任何影响。如果您花费时间和精力来保护您的代码,那么补丁和扩展对于所有实际目的都是无用的。但它就像一个防火墙,每一层都是有用的,只要它不会妨碍你太多(特别是因为几乎不可能编写 100% 安全的代码)。
看:http ://www.hardened-php.net/suhosin/a_feature_list.html
部分引擎保护仅在使用修补的 php 源时可用。