Je fais une refonte pour un client qui est naturellement préoccupé par la sécurité après avoir été piraté dans le passé. J'avais initialement suggéré d'utiliser une simple inclusion PHP pour les modèles d'en-tête et de pied de page et un formulaire de contact qu'ils voulaient. Ils sont réticents car leur société d'hébergement leur a dit que l'utilisation de PHP est un problème de sécurité qui pourrait permettre à quelqu'un de pénétrer dans cPanel et de prendre le contrôle du site.
Cela, pour moi, ressemble à le dire à quelqu'un de ne jamais conduire pour éviter un accident de voiture. Mon instinct est que l'hôte essaie de rejeter la responsabilité sur le client pour les failles de sécurité dans son propre système. De plus, PHP est toujours installé sur le serveur, que nous l'utilisions ou non, donc je me demande à quel point cela réduit réellement la surface d'attaque ... Mais comme je ne suis pas un expert en sécurité, je ne veux pas rester le pied dans la bouche.
J'ai dit à mon client que pour traiter le formulaire de contact, il allait avoir besoin d'une forme de script dynamique. (Faux?) Ils m'ont demandé si je pouvais simplement utiliser PHP sur cette page. Serait-ce plus sûr, ou est-ce l'équivalent de verrouiller les portières de votre voiture et de laisser la vitre baissée?
Dans quelle mesure l'affirmation selon laquelle n'importe quel script PHP est-elle vraie? , aussi simple soit-il, est-ce un problème de sécurité inhérent? Nous sommes sur un hébergement partagé sans SSL. Est-il raisonnable de supposer que nous avons été piratés en raison de l'utilisation de PHP? Serons-nous plus sûrs si nous ne l'utilisons pas, mais ne pouvons pas le désinstaller? Parce que sinon, nous avons d'autres problèmes.
(La réponse serait-elle différente pour toute autre langue ?)