PHP används som skriptspråk på 80 procent av världens webbservrar och hanterar databasfrågor mellan klienterna och webbserverns databas. Enligt Stackoverflows undersökning bland 100 000 utvecklare används språket av drygt 30 procent av utvecklarna och är det nionde mest populära programmeringsspråket i världen.

Den sista versionen av PHP 5, version 5.6, får nu se sig avhängd av utvecklarna som upphör med säkerhetsuppdateringarna efter årsskiftet. Egentligen borde säkerhetsuppdateringarna ha upphört redan för ett år sedan, men eftersom 5.6 är den sista versionen i 5-serien bestämde utvecklingsgruppen att förlänga livet för PHP 5 ytterligare ett år.

Samtidigt med detta upphör även utvecklarnas stöd för PHP 7.0, som inte får ett extra nådeår.

Populära webbpubliceringssystem (CMS) som Wordpress, Joomla och Drupal bygger på PHP; de senare versionerna av dessa är dock redan kompatibla med PHP 7.2. Det som kan ställa till det för användare av dessa, och andra PHP-baserade webbpubliceringssystem, är att teman, widgets och plug-ins från tredje part kan släpa efter och sluta fungera efter en uppgradering.

Wordpress, som är det största cms:et i världen, är det särklass vanligaste kunderna möter när de köper domäner och webbtjänster på webbhotellen. För kunderna till webbhotellen blir det viktigt att tjänsterna uppdateras utan att ställa till problem för kundernas sajter.

– Att ligga kvar på PHP 5.6 är ingen bra lösning varken säkerhets- eller prestandamässigt. Vi är dock medvetna om att flytten till PHP 7.2 kan vara problematisk och har därför allokerat tid och resurser för att flytta kundernas webbplatser till PHP 7.2 utan att kunden behöver göra något, säger Jimmie Eriksson, vd på webbhotellet Loopia.

– Vi har sedan februari 2017 erbjudit möjlighet för våra kunder att flytta till PHP 7. Vi har informerat våra kunder i god tid att de bör uppgradera till PHP 7.2 och gett dem tips på vad de bör tänka på i samband med uppgraderingen.

PHP 5 har genom åren fått sin beskärda del av buggar och sårbarheter, för att uttrycka sig milt. Säkerhetsproblem som sql injection, fjärrinkludering av filer, fjärrexekvering av kod och så kallad cross site scripting kan alla härledas till sårbarheter i PHP. Flera sårbarheter har upptäckts bara i år, och fler förväntas upptäckas nästa år, vilket gör en uppgradering till PHP 7 (7.2) närmast kritisk eftersom säkerhetsuppdateringarna alltså upphör från årsskiftet.

– Äldre PHP-versioner har många kända sårbarheter och varit rätt utsatta för olika former av angrepp de senaste åren. När vi genomför utfasningar av äldre PHP-versioner vi inte längre stödjer, så gör vi detta i faser där kunder först blir uppmanade att själva ta steget. De som inte gör detta informerar vi när det är dags för en större ändring i hela miljön, och därefter byter vi automatiskt på alla kunders webbplatser – dock med möjlighet för supporten att backa om kunderna behöver mer tid att anpassa sig, säger Johan Edlund, produktchef på webbhotellet Binero.

– För oss är det viktigt att de här ändringarna utförs smidigt för kunderna – alla är inte utvecklare själva och har inte alltid koll på de här bitarna och då är det viktigt att inte lägga allt ansvar på kunden.

Populära webbpubliceringssystem som Wordpress, Joomla och Drupal bygger på PHP; de senare versionerna av dessa är dock redan kompatibla med PHP 7.2. Det som kan ställa till det för användare av dessa, och andra PHP-baserade webbpubliceringssystem, är att teman, widgets och plug-ins från tredje part kan släpa efter och sluta fungera efter en uppgradering.

– Vi arbetar med att uppmana kunder att följa med framåt för att inte tappa kompatibilitet, prestanda och inte minst säkerhet. Generellt när det gäller Wordpress så är det oftast okej så länge man håller sin applikation uppdaterad, och använder betrodda plugins med aktiv utveckling, säger Johan Edlund på Binero.

Jimmie Eriksson på Loopa:

– Innan webbplatsen uppgraderas till PHP 7.2 kontrollerar vi att webbplatsen fungerar som tidigare. Upplever vi att sidan påverkas negativt av uppgraderingen rullar vi tillbaka uppgraderingen och informerar kunden för att därefter tillsammans hitta en lösning. En av de vanligaste orsakerna i dessa fall är där kunden köpt premium-tillägg och därför själv behöver hjälpa till med uppgraderingen. Majoriteten av kunderna har vi flyttat till PHP 7.2 utan större problem.

En uppgradering till PHP 7.2 ger inte bara en bättre säkerhet utan även betydligt bättre prestanda för webbservern. PHP 7.2 lär vara minst dubbelt så snabb som 5.6.

– Det kom mycket stora prestandaförbättringar redan i PHP 7 och vi rekommenderar våra kunder att uppgradera, då de flesta tjänar på att göra detta, säger Johan Edlund på Binero.

Här kan du läsa om typiska sårbarheter i äldre versioner av PHP.

En kompabilitetskontroll finns att läsa här.

En migreringsguide från PHP 5.6 till 7.0 (och från 7.0 till 7.2) finns här.

Läs också:
Nu vet vi – så ser den typiske utvecklaren ut
KTH-forskare har byggt en bot som patchar kod lika bra som en människa