Lo scorso marzo è stato the Month of PHP Bugs, letteralmente il Mese dei Bachi in PHP, un´iniziativa nata dall´idea di tre ricercatori tedeschi di migliorare la sicurezza di PHP e delle applicazioni scritte nel famoso linguaggio per il web, partendo dal basso e migliorando lo Zend Engine (il motore su cui PHP funziona), il PHP Core e le estensioni già incluse nel linguaggio.
Come sperato l´iniziativa ha dato i suoi frutti: numerose vulnerabilità sono state scoperte e sistemate sia per la versione 4 che per la 5, ma resta da capire se questi risultati debbano essere considerati un successo o un insuccesso. Infatti, se da un lato sono stati sistemate delle vulnerabilità (la maggior parte del tipo Code Injection), d´altra parte queste vulnerabilità dimostrano delle gravi carenze da parte di PHP.
Questa dualità di vedute è ancora più accentuata se si considera che a scoprire tutti i problemi più gravi è stato Stefan Esser che abbandonò il PHP Security Team a causa del clima interno a PHP, dove il suo lavoro veniva visto più come un danno d´immagine che come un contributo alla sicurezza al linguaggio.
Polemiche a parte, agli amministratori dei server web che usano PHP non resta che installare le versioni 4.4.7 o 5.2.2 aggiornate e scaricabili dal sito ufficiale di PHP, queste versioni risolvono numerose vulnerabilità e ben dieci sono quelle scoperte dal solo Esser.