¿Es adecuado usar PHP para aplicaciones seguras?

Bueno, valoraría mucho que me cuenten sus opiniones y experiencias acerca del tema.

La cosa es que he comenzado a trabajar con un amigo en el diseño, estructuración y programación de páginas web. Hemos comenzado a hacernos publicidad de distintas maneras que consideramos efectivas. Ambos nos manejamos con PHP orientado a objetos, y mi problema es el siguiente: tengo un poco de miedo que nos toque hacer una página tipo comercio electrónico o similares, en las que la seguridad juega el papel mas importante. Realmente no se si PHP se preste para hacer este tipo de aplicaciones, ya que por lo general en las páginas de bancos o en las que se realicen transferencias de dinero usan ASP o alguna de esas cosas de Microsoft. Quizá el motivo de ello sea que son lenguajes mas seguros a la hora de programar, o quizá sencillamente los utilicen por que son de Microsoft, no lo sé...
En fin, quisiera que me dejen sus comentarios y experiencias, y me gustaría que me recomienden un lenguaje para realizar este tipo de programas, en los que la seguridad es tan requerida...

Les agradezco de antemano.
Saludos!

¿Y quien te dijo que PHP no es seguro?

La seguridad se maneja independiente de que lenguaje uses, se trabaja con certificados de seguridad tanto en el servidor como en la aplicacion.

Investigare con un amigo mas sobre el tema, el si a trabajado portales para compras en linea, y a manejado la seguridad, luego te cuento.

Bueno .. PHP como todo lenguaje tiene sus límites .. PHP los tiene como cualquier otro.

Lo que hay que plantearse a la hora de dedicarse a la programación es que uno no puede centrarse en una herramienta .. (en este caso PHP) .. Cada área/proyecto tiene su mejor entorno para desarrollo.

Un "banco" por ejemplo suele tener que comunicarse a nivel interno son sus sistemas, son muchos, mucha gente la que trabaja en el proyecto y mucho que mantener. Para esos casos .. "Java" (y/o con JSP) suele ser la mejor opción (y la que más veo en ese tipo de proyecto) .. Todo orientado objetos 100% con soporte POO 100% (no como PHP que no llega a ese nivel de standarización ni con PHP 5 que lo mejora vs a PHP 4). Por otro lado .. muchas veces tienes que comunicarte con sistemas basados en windows (ERP's, CMR's .. etc) que funcionan en windows .. así que ahí usan mucho .NET (o ASP) .. estás en el "ambiente" idoneo=todo windows. PHP puede correr en Windows .. pero por supuesto lo hace mejor ".NET" o "ASP" ..

Ahora .. si tu tienes que desarrollar una "tienda virtual" que tan sólo hace a lo sumo el pago de la compra por una pasarela de una entidad financiera (probablemente escrita bajo CGI en C/Java) .. ahí PHP funciona perfectamente sin problemas, .. puedes correr PHP en tu servicio de hosting o servidor dedicado bajo "linux" (optimizando costos y ganando en rendimiento).

En fin .. pese que soy asiduo seguidor de PHP, estoy consciente que PHP no lo es todo, eso sí .. depende de la orientación que UDs. den a sus proyectos .. así usaran mucho PHP o definitivamente usaran .NET/Java-JSP ..etc.

Por el lado de la seguridad .. Sobre PHP* (el lenguaje) .. lo malo que tienes es que "detras" de PHP está una comunidad que va a resolver cualquier problema lo antes posible .. pero no podrás hechar la culpa a nadie. En otros lenguajes tienes a una "empresa" con nombre al cual pedir responsabilidades si tienes problemas de esa indole.

PD: * Para el "motor" o "interprete/parser" de PHP está Zend (www.zend.com) como "empresa" ...

Un saludo,

Mira mi tesis de grado la realice sobre seguridad en el comercio electronico y te digo que aunque utilices el lenguaje que sea no existe seguridad en internet ya que no fue creada para ese fin, por otro lado te recomiendo que siempre que programes páginas en donde envies o recibas información importante o confidencial te preocupes del "proceso" ya que eso es lo unico que se puede proteger atraves de internet, te lo explico con el siguiente ejemplo que lei por algun sitio:

"una persona sale del banco con 1 millon de dolares en una bolsa de plastico transparente, y recorre el trayecto asta su casa que queda al otro extremo de la ciudad atravesando la plaza de la ciudad diferentes poblaciones y sectores entre ellos sectores de alticima peligrocidad" probablemente lo mas seguro es que lo asalten y le roben el dinero, ya que iba en una bolsa transparente a vista y paciensia de todos."

la misma situacion pero de la siguiente forma

"una persona traslada su dinero (1 millon de dolares) desde el banco a su casa en un camion brindado con guardias de seguridad atravesando la plaza de la ciudad, diferentes poblaciones entre ellas algunas de alticima peligrosidad, lo mas seguro es que el dinero llege al destino, pero siempre esta la pocibilidad de que asalten el camion brindado y roben el dinero"

como muestra el ejemplo cuando se traslado el dinero en el camion brindado el dinero no se lo robaron pero eso no quiere decir que las calles se allan vuelto seguras y que nunca mas robaran, sino que se le dio un poco mas de seguridad a la transaccion o proceso que es en lo que tienes que prestar toda atencion, puedes ocupar certificados digitales, script de vadilacion etc.
pero ten en cuenta que si la transaccion es atraves de internet nunca será segura.
saludos

Gracias por sus respuestas, me han resultado muy útiles...

Creo que finalmente consideraré el tema de ampliar un poco mis conocimientos y comenzar a mirar otros lenguajes con mas cariño, para que se complemente con lo que conozco de PHP.

En fin, muchas gracias a los 3 por sus claras respuestas...

Saludos!

PHP es perfectamente válido para hacer prácticamente cualquier caso y es tan seguro (o inseguro) que cualquier otro lenguaje de programación. Es tan escalable (su escalabilidad depende del servidor web) como cualquier otro lenguaje de programación.

En la seguridad de una aplicación, el lenguaje utilizado no tiene ninguna importancia: todos ellos tienen agujeros de seguridad, algunos públicos y otros no, algunos conocidos y otros no, pero todos los tienen.

La seguridad de una aplicación depende principalmente de:

1) Los conocimientos del programador. El programador debe saber programa de forma segura.

2) El entorno donde se ejecuta la aplicación. Una aplicación no es solo un programa, es un sistema operativo, un servidor web, una base de datos, etc. Todos ellos deben estar administrador correctamente, mantenerlo siempre actualizado, etc.

La seguridad es una cuestión de capas o niveles, se debe proteger la aplicación en todos los niveles y cuantos más niveles de seguridad existan mejor.

El sistema operativo debe correr el mínimo de servicios posibles, en una maquina que aloja una aplicación que pretende se segura, no puede haber 40 servicios ejecutandose: el SSH, el servidor web y el servidor de bases de datos son suficientes. Si necesitas FTP usas SCP, si necesitas enviar correos usas un servidor externo, etc.

De la misma forma, esta máquina no puede ser compartida por otros 200 clientes, a la máquina sólo puedes acceder tú, sino por muy bien que programes la aplicación, no hay nada que hacer.

Creo que es suficiente para que veas mi punto de vista: el lenguaje en sí no es la clave, sino el programador y el entorno.

Como anecdota, comentar que Oracle tienes unos cuantos agujeros de seguridad conodicos desde hace meses y aún no ha hecho nada. Oracle es la base de datos usadas habitualmente por grandes organizaciones, gobiernos, etc.

Un saludo!