Devo usare Suhosin per PHP?

A partire dal 2012, Arch Linux e Debian sembrano aver scaricato Suhosin. Direi che è meno necessario e i seguenti post di blog citano ottime ragioni per non utilizzarlo (in gran parte legate alla compatibilità a monte e ai cicli di rilascio imprevedibili / inaffidabili):

• PHP 5.4.1 in - Suhosin out
• Patch Suhosin disabilitata per impostazione predefinita nei build Debian php5 .

Personalmente eseguo sempre Suhosin su tutti i miei server.

I miei motivi principali sono

• Aggiunge funzionalità sha256 () a PHP.
• Sono alcune cose davvero buone per quanto riguarda il filtraggio dei caricamenti fatti tramite PHP.
• Disabilita alcune delle brutte funzioni PHP come eval (). Il che è buono perché, sebbene tu possa benissimo non usarlo, non puoi mai dire a cosa gli sviluppatori si adegueranno.
• Anche ogni altro motivo elencato qui è una buona ragione per eseguirlo.

Esaminando i risultati benchmark per Suhosin la perdita di prestazioni è insignificante almeno per me.

Consiglierei di usare Suhosin. Se "ti fidi" del tuo codice, non puoi fidarti di PHP, però. Ci sono molte vulnerabilità trovate in passato nell'interprete stesso e si ritiene che non scompariranno così semplicemente un giorno. Suhosin ti protegge da più vulnerabilità "di basso livello" come buffer overflow ed ecc.

Suhosin aggiunge anche l'algoritmo di hashing della password blowfish alle piattaforme che non lo supportano in modo nativo (penso che solo BSD lo abbia in modo nativo). È di gran lunga superiore a MD5 e più standardizzato rispetto a quelli basati su SHA. È anche scalabile, si utilizza un parametro di configurazione come parte di sale per eseguire il logaritmico della complessità dell'hash, il valore predefinito è 4 o 7, nell'intervallo 0-31. Un'impostazione di 13 richiede circa 60 secondi per hash su un core2duo 2.4ghz.