一、PHP5.6大限將至，安全問題首當(dāng)其沖
       2018年11月4日，中央網(wǎng)信辦發(fā)布了一篇名為“開啟網(wǎng)絡(luò)強國戰(zhàn)略新征程——黨的十八大以來我國網(wǎng)絡(luò)安全和信息化工作綜述”的文章，其中提出了“ 沒有網(wǎng)絡(luò)安全就沒有國家安全”的概念。這讓筆者不禁聯(lián)想近期PHP網(wǎng)站的一個事件，自2018年12月31日起，PHP官方組織即將停止對PHP5.6版本的支持，目前距這個時點只有不到1個月的時間，屆時將有數(shù)百萬個網(wǎng)站和用戶面臨潛在風(fēng)險。

       當(dāng)然，停止更新是信息化時代所有IT相關(guān)產(chǎn)品的必然宿命，例如微軟會保持對Windows產(chǎn)品的有限時限的更新支持。在PHP每個語言版本發(fā)布之初，也明確說明了每個穩(wěn)定版本發(fā)布后的2年里會得到完全支持，并于其后1年中提供有限支持。
       事實上從18年前，即從2000年10月20日PHP組織第一次宣稱不支持PHP3.0開始，其間一共對12個版本的PHP宣布過不提供支撐。到2016年7月21日，最后一次顯示對PHP5.5不提供支持，而2018年12月31日，將正式停止對PHP5.6的安全支持。但考慮到受眾廣泛，PHP也一再延長對PHP5.6的支持時間。縱觀各個版本的PHP，PHP5.6版本支持時間在各個版本中相當(dāng)長，已經(jīng)超預(yù)期提供技術(shù)支持1年。

二、成也蕭何、敗也蕭何，最受歡迎的PHP也更容易產(chǎn)生風(fēng)險
    PHP5.6是各個版本中支持時間最長的一個，同時這里蘊含的風(fēng)險也大。數(shù)據(jù)統(tǒng)計顯示，超過60%的網(wǎng)站用戶將面臨潛在風(fēng)險。在數(shù)據(jù)占比方面，據(jù)W3Techs.com數(shù)據(jù)顯示，截止2018年11月，服務(wù)器端編程語言，PHP依然是一家獨大，占比達(dá)到了78.9%。

       而令人感到不安的是，而整個PHP的后臺語言里，超過77.2%的版本依然是PHP5.0系列，僅有22.1%的版本升級到了PHP7.0。

       即使是考慮到重要性程度而言，PHP依然是碾壓包括Java在內(nèi)的眾多語言。不僅在市場占有率方面獨樹一幟，即使是最流行的網(wǎng)站里，PHP也并不過多的落后于Java等語言。

       換句話說，按照目前的情況看，到了2018年之后，將有超過61.46%的網(wǎng)站脫離PHP的技術(shù)支持，存在安全漏洞風(fēng)險。
      三、PHP依然具有突出的健壯性，但專業(yè)的技術(shù)服務(wù)缺乏將是最大的安全風(fēng)險
       回顧PHP的誕生歷程，已經(jīng)有20多年歷史。PHP經(jīng)歷了Web1.0，Web2.0，移動互聯(lián)網(wǎng)3G、4G等各個時代，期間受到包括ASP等各種編程語言的挑戰(zhàn)，但除了在超大型企業(yè)和傳統(tǒng)軟件行業(yè)外，PHP依然處于絕對優(yōu)勢。
      而這一結(jié)果得益于PHP遵從實用主義，具有入門簡單、容易掌握、標(biāo)準(zhǔn)庫強大、各種功能函數(shù)非常便于使用、第三方類庫、工具、項目豐富等優(yōu)點。憑借靈活、便捷、開發(fā)周期短的特點，PHP得到小規(guī)模開發(fā)公司和程序愛好者的青睞，在中低端網(wǎng)站開發(fā)市場占有絕對優(yōu)勢地位?？梢哉f，網(wǎng)站建設(shè)行業(yè)多年來形成數(shù)量龐大的“個體戶”，且水平良莠不齊。很容易看到，市面上大部分模板建站供應(yīng)商都是使用PHP開發(fā)語言,大部分網(wǎng)站也是PHP語言開發(fā)或PHP模板系統(tǒng)生成。
      但另一方面，PHP語言也是病毒、木馬的最愛。同時，考慮到PHP標(biāo)準(zhǔn)庫缺乏一致性，導(dǎo)致很多初學(xué)者不恰當(dāng)使用導(dǎo)致開發(fā)出不良的架構(gòu)系統(tǒng)。
      為對于未來而言， PHP漏洞攻擊者主要目標(biāo)不是在PHP本身，而是在PHP函式庫及CMS系統(tǒng)如果沒有專業(yè)的技術(shù)服務(wù)支持，網(wǎng)站有可能淪為色情賭博網(wǎng)站，由此產(chǎn)生的品牌受損甚至政治風(fēng)險將無從估量。
      四、主動應(yīng)變，專業(yè)技術(shù)服務(wù)最為優(yōu)勢
      可以預(yù)見到的是，過了2018年底大限，黑客會更積極地在PHP 5.6以及以前版本中找到漏洞。但據(jù)計世資訊(CCW Research)對業(yè)內(nèi)人士交流所知，大多數(shù)用戶均不以為然，認(rèn)為可以“僥幸”在2019年繼續(xù)使用PHP 5.6以及之前版本，而這種“僥幸”也是最大的風(fēng)險所在。也就是說，除非客戶意識到他們的PHP版本已經(jīng)“不能使用”，否則很少有人會要求將其轉(zhuǎn)移到新的版本。
      （1）針對性打補丁，修復(fù)系統(tǒng)漏洞
      針對特定或主流的漏洞，推薦手工進(jìn)行過濾和修復(fù)，通過代碼的安全加固來完善自身系統(tǒng)的安全性能，還可以通過使用安全攻擊防御產(chǎn)品或軟件。
      （2）優(yōu)化技術(shù)架構(gòu)，采用云計算的模式保持技術(shù)先進(jìn)性
      通過優(yōu)化后臺語言，借助最先進(jìn)的云平臺集成化技術(shù)。云計算架構(gòu)的優(yōu)勢在于將服務(wù)層和基礎(chǔ)層、系統(tǒng)層，可以保持對PHP語言的實時更新，同時還可以保護(hù)客戶不受帶寬、存儲、計算能力的限制，此外，還可以增加負(fù)載均衡和安全策略保持系統(tǒng)安全。
      （3）選擇專業(yè)的技術(shù)服務(wù)商保持最新的技術(shù)服務(wù)部署
      對于優(yōu)秀的專業(yè)技術(shù)服務(wù)商而言，會始終默認(rèn)在新版本的PHP上部署新用戶，而不是讓客戶選擇、并且僅在請求時才將現(xiàn)有客戶端更新為新版本的PHP。目前行業(yè)內(nèi)主流的IT技術(shù)服務(wù)商阿里云、騰訊云、中企動力等均有最新的安全策略。同時，專業(yè)的技術(shù)服務(wù)商也會幫組企業(yè)客戶在內(nèi)部和外部兩方面進(jìn)行安全提升，抵御攻擊者的進(jìn)攻效果會更加顯著。