Терри Чей написал подробный ответ на распространенные жалобы на безопасность PHP . Он рассматривает многие распространенные жалобы, выдвигаемые PHP, такие как использование PHP глобального пространства имен, решение PHP отключить register_globals в 4.2, а также проблемы с такими функциями, как полоски и магические кавычки (о которых я писал ранее ).
Один из интересных моментов, которые он подчеркивает, заключается в том, что существует баланс между простотой использования и гибкостью, с одной стороны, и безопасностью, с другой. Во многом успех PHP можно объяснить простотой его использования в ранних версиях. Терри утверждает, что по сравнению с другими языками PHP очень сильно сфокусирован на гибкости, и что единственное решение возможных последствий для безопасности, которое это может создать, — лучшее образование. Он вставляет плагин в консорциум PHP Security, который публикует материалы, чтобы рассказать другим пользователям PHP о лучших методах программирования для обеспечения безопасности (под руководством Криса Шифлетта , группа опубликовала руководство, доступное в HTML или других форматах).
Идея о том, что отсутствие безопасности может быть оправдано простотой использования, является тем, что мне не совсем легко, так как часть меня чувствует, что в идеальном мире язык должен быть уверен, что самый простой способ сделать что-то тоже правильный путь. Но, конечно, проблемы являются сложными, и он, в конце концов, выступает в обобщениях, защищая аналогичные обобщения и абсолюты в PHP на Slashdot.