Suhosin se puede usar para aumentar la seguridad de su aplicación PHP. Realmente puedo ver el uso de él cuando usas hosts compartidos, con varias personas (posiblemente malvadas) ejecutando sus aplicaciones PHP allí.
Cuando solo tiene una aplicación web, la suya, ¿hay alguna ventaja en el uso de Suhosin?
A partir de 2012, Arch Linux y Debian parecen haber abandonado Suhosin. Yo diría que es menos necesario y las siguientes publicaciones del blog citan muy buenas razones para no usarlo (en su mayoría relacionadas con la compatibilidad ascendente y los ciclos de publicación impredecibles / no confiables):
Personalmente siempre ejecuto Suhosin en todos mis servidores.
Mis principales razones son
Mirando los resultados de referencia para Suhosin, la pérdida de rendimiento es insignificante, al menos para mí.
Recomendaría usar Suhosin. Sin embargo, si usted "confía" en su código, no puede confiar en PHP. Hay muchas vulnerabilidades encontradas en el pasado en el propio intérprete y se cree que no desaparecerán tan solo un día. Suhosin lo protege de más vulnerabilidades de "bajo nivel" como desbordamientos de búfer y etc.
Suhosin también agrega el algoritmo de hashing de contraseña de Blowfish a las plataformas que no lo admiten de forma nativa (creo que solo BSD lo tiene de forma nativa). Es muy superior a MD5 y más estandarizado que los basados en SHA. También es escalable, utiliza un parámetro de configuración como parte de la sal para escalar logarítmicamente la complejidad del hash, el valor predeterminado es 4 o 7, en un rango de 0-31. Una configuración de 13 toma aproximadamente 60 segundos por hash en un core2duo 2.4ghz.
Lea otras preguntas en las etiquetas web-application appsec php