最新的研究表明，脚本语言在网络应用中开发中可能会产生更多的安全漏洞。Veracode公司发布了他们的关于应用开发的软件安全状态报告，分析了，个独立的应用。安全人员分析了包括PHP，Java，JavaScript，Ruby，.NET，C，C++，ClassicASP等众多语言开发的app。

分析人员发现ColdFusion、PHP以及ClassicASP在众多应用中是最“危险”开发语言，相比之下，Java和.NET是最“安全”的开发语言。

分析人员采用的分析方法是每MB上缺陷的密度，具体分析结果如下图所示：

详细的统计信息如下：

ClassicASP–1,flaws/MB(1,critical)

ColdFusion–flaws/MB(critical)

PHP–flaws/MB(47critical)

Java–51flaws/MB(5.2critical)

.NET-32flaws/MB(9.7critical)

C++–26flaws/MB(8.8critical)

iOS–23flaws/MB(0.9critical)

Android–11flaws/MB(0.4critical)

JavaScript-8flaws/MB(0.09critical)

研究人员还分析了为什么PHP是最不安全的编程语言之一，原因是PHP开发的程序有如下“特征”：

1、86%的程序至少包含一个XSS漏洞（额滴神啊）

2、56%的程序包含SQL注入攻击的可能

3、61%的程序包含代码注入的可能

4、50%的程序存在信息泄露

等等，

下图是不同的语言在XSS漏洞、SQL注入、代码注入、加密方面存在的问题，

当一个团队启动新项目的时候，是不是该考虑一下怎么绕过这些不安全的因素呢？