Vandaag begint in Amsterdam de Dutch PHP Conference. De bijeenkomst moet gebruikers en ontwikkelaars helpen met nadenken over het bouwen van websites.

Populaire eenvoud

Sinds de introductie van de scripttaal in 1995 is de populariteit gegroeid. Conservatieve schattingen gaan er vanuit dat er tussen de 20 en 30 miljoen sites zijn die PHP op een of andere manier gebruiken. Ook grote sites als Nu.nl, Webwereld, CNN, BBC, Hyves, Wikipedia en Facebook passen de technologie toe.

Volgens Ivo Jansch, cto van iBuildings en schrijver van het boek Enterprise PHP-development, is dat niet verwonderlijk. "Je kan er alles mee wat je met de gangbare talen kunt, maar alleen dan veel sneller", vertelt hij, "Het is een zogenaamde glue-language om allerhande technologieën te binden. Voor alles wat een beetje belangrijk is, is er wel een koppeling."

Toch gaat het niet alleen om een koppeling met bijvoorbeeld een Oracle-database alleen, maar juist ook om de mogelijkheid om zelf diensten te maken voor een service oriented architecture (soa). Ook zijn er veel open-sourceprojecten, die kant en klare oplossingen bieden.

Concurrentie op de knieën

Dat die universele bruikbaarheid gevolgen heeft, blijkt uit het feit dat Microsoft zich actief richting gebruikers van de taal opstelt, terwijl het zelf de .NET-omgeving voor dezelfde doelen heeft. De reden voor die toenadering ligt vooral in het feit dat de onderneming de rol voor het Windows-platform zeker wil stellen.

Een populaire toepassing van PHP is juist als onderdeel van de zogeheten LAMP-stack: Linux, Apache, MySQL en PHP. Daar valt Windows dus buiten de boot. Voor de conferentie is het dan ook niet vreemd dat grote softwareleveranciers IBM en Oracle zich hebben aangemeld als sponsoren.

Onveilig door kennisgebrek

Dat de populariteit zo enorm is begrijpt Tim Hemel van beveiligingsbedrijf Madison Gurkha wel. Hij wijst erop dat de leercurve voor de taal laag, wat ook weer een risico vormt. "Het trekt programmeurs aan die eigenlijk onvoldoende opleiding hebben gehad", stelt hij. "Over het algemeen zien we dat het aantal programmeurs zonder opleiding groot is. Dat zie je terug in de beveiliging."

"Voor de gekste dingen heb je functies. Wat je vroeger in drie stappen deed doe je nu in een enkel commando", legt hij uit. "Als je niet weet hoe je het gebruikt dan introduceer je zo een probleem. Je moet je bewust zijn van wat de beveiligingsissues zijn. Bij PHP zijn het er net iets meer bij andere talen."

Systeemcommando's

Joost Pol van opleider Certified Secure herkent de zorgen van Hemel wel. Hij noemt als voorbeeld dat het mogelijk is om systeemcommando's vanuit PHP uit te voeren. "Als je dat niet goed uitvoert dan kan een aanvaller andere commando's uitvoeren", verzucht hij. "Zelfs al doe je je best om het goed te doen dan kan het alsnog misgaan."

Beide beveiligingsexperts hameren er dan ook op dat het belangrijk is toch juist veel aan opleiding te doen. Dat dat tegenstrijdig is aan het principe van PHP dat zich zoveel eenvoudiger aanleert als een taal als bijvoorbeeld C of Java snappen ze al te goed. Hemel: "Voor veilige software is dat toch wel nodig."

Van 11-13 juni kunnen ontwikkelaars hun kennis op peil brengen op de conferentie. Webwereld is mediapartner van het evenement.