Là en revanche je proteste : si tu utilises également un framework PHP (au lieu de comparer PHP pur à un framework d'un autre langage), tu auras aussi l'élimination de failles et injections. Et si tu fais du PHP pur sans savoir utiliser PDO et ses requêtes préparées contre les injections SQL, c'est que tu as appris PHP il y a environ 10 ans sans te soucier des évolutions du langage depuis. Pour les failles CSRF, je veux bien reconnaître que la solution est à mettre à la main, et non automatique.
Pour les frameworks cependant, j'ai mes habitudes avec CakePHP, l'un des plus anciens frameworks PHP, et la protection contre ces failles se fait en une ligne pour l'ensemble du projet. Quant aux injections SQL, l'ORM du framework fait que même sans saisir ce concept, il n'est pas possible d'en être victime.

Je n'ai jamais de mal à bâcher PHP à force de bosser avec, mais j'aimerai qu'on reste dans le stade du raisonnable à ne pas dire que si un type à poil ne fait pas le poids face à un gamin armé d'une mitraillette, cela signifie qu'un gamin est plus fort qu'un adulte.

#cross Nil#