一、PHP5.6大限將至，安全問題首當其沖
       2018年11月4日，中央網信辦發(fā)布了一篇名為“開啟網絡強國戰(zhàn)略新征程——黨的十八大以來我國網絡安全和信息化工作綜述”的文章，其中提出了“ 沒有網絡安全就沒有國家安全”的概念。這讓筆者不禁聯想近期PHP網站的一個事件，自2018年12月31日起，PHP官方組織即將停止對PHP5.6版本的支持，目前距這個時點只有不到1個月的時間，屆時將有數百萬個網站和用戶面臨潛在風險。

       當然，停止更新是信息化時代所有IT相關產品的必然宿命，例如微軟會保持對Windows產品的有限時限的更新支持。在PHP每個語言版本發(fā)布之初，也明確說明了每個穩(wěn)定版本發(fā)布后的2年里會得到完全支持，并于其后1年中提供有限支持。
       事實上從18年前，即從2000年10月20日PHP組織第一次宣稱不支持PHP3.0開始，其間一共對12個版本的PHP宣布過不提供支撐。到2016年7月21日，最后一次顯示對PHP5.5不提供支持，而2018年12月31日，將正式停止對PHP5.6的安全支持。但考慮到受眾廣泛，PHP也一再延長對PHP5.6的支持時間?？v觀各個版本的PHP，PHP5.6版本支持時間在各個版本中相當長，已經超預期提供技術支持1年。

二、成也蕭何、敗也蕭何，最受歡迎的PHP也更容易產生風險
    PHP5.6是各個版本中支持時間最長的一個，同時這里蘊含的風險也大。數據統(tǒng)計顯示，超過60%的網站用戶將面臨潛在風險。在數據占比方面，據W3Techs.com數據顯示，截止2018年11月，服務器端編程語言，PHP依然是一家獨大，占比達到了78.9%。

       而令人感到不安的是，而整個PHP的后臺語言里，超過77.2%的版本依然是PHP5.0系列，僅有22.1%的版本升級到了PHP7.0。

       即使是考慮到重要性程度而言，PHP依然是碾壓包括Java在內的眾多語言。不僅在市場占有率方面獨樹一幟，即使是最流行的網站里，PHP也并不過多的落后于Java等語言。

       換句話說，按照目前的情況看，到了2018年之后，將有超過61.46%的網站脫離PHP的技術支持，存在安全漏洞風險。
      三、PHP依然具有突出的健壯性，但專業(yè)的技術服務缺乏將是最大的安全風險
       回顧PHP的誕生歷程，已經有20多年歷史。PHP經歷了Web1.0，Web2.0，移動互聯網3G、4G等各個時代，期間受到包括ASP等各種編程語言的挑戰(zhàn)，但除了在超大型企業(yè)和傳統(tǒng)軟件行業(yè)外，PHP依然處于絕對優(yōu)勢。
      而這一結果得益于PHP遵從實用主義，具有入門簡單、容易掌握、標準庫強大、各種功能函數非常便于使用、第三方類庫、工具、項目豐富等優(yōu)點。憑借靈活、便捷、開發(fā)周期短的特點，PHP得到小規(guī)模開發(fā)公司和程序愛好者的青睞，在中低端網站開發(fā)市場占有絕對優(yōu)勢地位?？梢哉f，網站建設行業(yè)多年來形成數量龐大的“個體戶”，且水平良莠不齊。很容易看到，市面上大部分模板建站供應商都是使用PHP開發(fā)語言,大部分網站也是PHP語言開發(fā)或PHP模板系統(tǒng)生成。
      但另一方面，PHP語言也是病毒、木馬的最愛。同時，考慮到PHP標準庫缺乏一致性，導致很多初學者不恰當使用導致開發(fā)出不良的架構系統(tǒng)。
      為對于未來而言， PHP漏洞攻擊者主要目標不是在PHP本身，而是在PHP函式庫及CMS系統(tǒng)如果沒有專業(yè)的技術服務支持，網站有可能淪為色情賭博網站，由此產生的品牌受損甚至政治風險將無從估量。
      四、主動應變，專業(yè)技術服務最為優(yōu)勢
      可以預見到的是，過了2018年底大限，黑客會更積極地在PHP 5.6以及以前版本中找到漏洞。但據計世資訊(CCW Research)對業(yè)內人士交流所知，大多數用戶均不以為然，認為可以“僥幸”在2019年繼續(xù)使用PHP 5.6以及之前版本，而這種“僥幸”也是最大的風險所在。也就是說，除非客戶意識到他們的PHP版本已經“不能使用”，否則很少有人會要求將其轉移到新的版本。
      （1）針對性打補丁，修復系統(tǒng)漏洞
      針對特定或主流的漏洞，推薦手工進行過濾和修復，通過代碼的安全加固來完善自身系統(tǒng)的安全性能，還可以通過使用安全攻擊防御產品或軟件。
      （2）優(yōu)化技術架構，采用云計算的模式保持技術先進性
      通過優(yōu)化后臺語言，借助最先進的云平臺集成化技術。云計算架構的優(yōu)勢在于將服務層和基礎層、系統(tǒng)層，可以保持對PHP語言的實時更新，同時還可以保護客戶不受帶寬、存儲、計算能力的限制，此外，還可以增加負載均衡和安全策略保持系統(tǒng)安全。
      （3）選擇專業(yè)的技術服務商保持最新的技術服務部署
      對于優(yōu)秀的專業(yè)技術服務商而言，會始終默認在新版本的PHP上部署新用戶，而不是讓客戶選擇、并且僅在請求時才將現有客戶端更新為新版本的PHP。目前行業(yè)內主流的IT技術服務商阿里云、騰訊云、中企動力等均有最新的安全策略。同時，專業(yè)的技術服務商也會幫組企業(yè)客戶在內部和外部兩方面進行安全提升，抵御攻擊者的進攻效果會更加顯著。