PHP ist nicht idiotensicher

Jüngste Zahlen zu Sicherheitslecks machen deutlich, dass die verbreitete Script-Sprache PHP ein weitreichendes Sicherheitsproblem hat.

In der National Vulnerability Database werden sämtliche bekannte Sicherheitslecks gesammelt. 2006 standen 43 Prozent der gelisteten Fehler mit Web-Applikationen in Verbindung, die mit Hilfe der dynamischen Scripting-Sprache PHP erstellt wurden. So waren beispielsweise 45 Prozent der im September gefundenen Lecks entweder Fälle von Cross-Site-Scripting, Database-Injections oder Fehler in PHP-Datei-Inklusionen. 2005 waren im Jahresdurchschnitt nur 29 Prozent der Fälle mit PHP in Verbindung zu bringen

Diese Lecks sind jedoch in der Mehrzahl nicht in der Sprache selbst zu finden. Vielmehr scheinen viele Entwickler, die meist Amateure sind oder keine spezifische Ausbildung genossen haben, Schwierigkeiten zu haben, ihre PHP-Anwendungen korrekt zu implementieren, so dass keine Sicherheitslecks entstehen. Doch auch für Spezialisten scheint es nicht immer leicht erkennbar zu sein, wie eine PHP-Anwendung geschrieben werden muss, damit sie möglichst sicher ist. Daher sollten sich Entwickler von Anfang an darüber Gedanken machen, wie eine Web-Anwendung sicher umgesetzt werden kann, raten Experten.

Das Problem liegt teilweise auch in der millionenfachen Verbreitung der beliebten Script-Sprache. Und offenbar konzentrieren sich Hacker immer häufiger auf Fehler in PHP-Anwendungen. Zwischenzeitlich soll auch ein langjähriger PHP-Entwickler, Stefan Esser, das Sicherheits-Team von PHP.org verlassen haben, angeblich, weil das Team nicht schnell genug auf Lecks reagiert habe.

Nun haben sich auch die Gründer von Zend Technologies, einem israelischen Unternehmen, das sich auf PHP spezialisiert hat, in die Diskussion eingemischt. So seien in der Vergangenheit einige Funktionen deaktiviert worden, um PHP für Entwickler “idiotensicher” zu machen. Derzeit konzentriere sich das Team jedoch mehr auf die Entwicklung neuer Funktionen in der Sprache.