ちと、某所にて、過去のWebアプリの脆弱性をつらつらと眺めていたら、PHPが妙に多い。感覚的に7,8割はあるんじゃなかろうかと思う。
その点、.netやJava(JSPを含む)はそれほど多くない気がする。まあ、OSSのアプリが多いからPHPが多いんだとは思うんだけど、それを差し引いても、多いよなぁ。
.netやJavaはそこそこセキュリティを考えた仕様があるので、うまく使えば比較的安全なアプリを作ることが出来るのが大きいのかも。
PHPってイヤンな仕様が多いから、そこら辺を知らなくてはまっているっぽいのもちらほら･･･
たとえば、register_globalsとか、magic_quote_gpcとか･･･型がないとか･･･
特にregister_globalsは結構はまるよねぇ。確かに作る側からすれば、楽チンなのかもしれないけど、そのリスクを考えたら･･･絶対、初期化忘れってありそうだし。
magic_quote_gpcはこれはこれで、一見セキュリティ対策っぽく見えるけど、弊害の方が大きいし････
型がないから、プログラマが意識して、型を考えないといけないし････
やっぱり、PHPってサクサクっとちっちゃなアプリを作るのには向いてるけど、大規模アプリには向いてない気がするなぁ。
でも、妙に人気が高いんだよねぇorz