为什么被渗透的网站大多是 PHP 开发的?

谢邀。

题主只要稍微有点Web网站开发或者程序员背景，就应该知道这个梗：「PHP是地球上最好的语言」。

在这个梗背后，你还需要知晓一点，世界上目前现存的应用最广泛的CMS，大部分基于PHP实现。比如，我们要搭建博客，直接用 WordPress；需要企业建站，国外考虑 Joomla 或Drupal，国内考虑DedeCMS；需要搭建电商交易平台，有 ECshop；要做论坛，则有 Discuz 之类的。

因此，互联网现存的很多网站，只要企业没有自研团队 或者 需求不复杂，能基于市面上已有的、稳定的、开源的、免费的 PHP CMS 快速搞定，直接拿来就用无需重复造轮子，何乐而不为呢？

简单来说，尽管当今网站开发技术栈，已逐步迁移到 Java、Python、Go，但 PHP 的网站语言比例仍然很高。

有了上面的背景，题主就能理解「被渗透的网站大多是PHP开发的」了，你想想，但凡 WordPress 或 Discuz 爆一个漏洞出来，那不一撸一大把？

当然，当前实际的安全测试项目中，很多客户是同时有基于 PHP、Java、Python等不同技术栈的业务系统，例如 企业官网用 PHP 、业务系统用 Java 、运维平台用 Python。

因此，题主还问到的「想继续研究网络研发，有必要学学 PHP吗？」，这个当然是必备的。从安全工作需求来看，精通一门语言，其他语言也要有所涉猎。

另外，想要接触不同语言的不同渗透测试案例，新手的话我建议先从 OWASP BWA 这个靶场开始，这里集成了PHP、Java、Python 等不同语言做的靶机，例如安全圈大家最熟悉的 DWVA、WebGoat、Mutillidae 等。

OWASP BWA 官方下载地址：https://sourceforge.net/projects/owaspbwa/

【推荐文章】by @拼客学院陈鑫杰

• 零基础如何成为一名合格的黑客？
• [福利贴] 全网最强18套网络安全公开课汇总，与200万人一起学！
• [冇眼睇]揭秘地下色情诱导网站，上车吧！
• 网络安全入坑指南|行业|求职|学习|书单|薪酬|路径
• 信息安全专业的学生应该如何进入该行业？

【推荐视频】by @拼客学院陈鑫杰

• 信息安全发展趋势与职业规划
• 零基础如何入门网络安全-Web安全-渗透测试？
• Web安全工程师-渗透测试-白帽子黑客学习路线图
• 大型考研诈骗犯罪溯源 - 陈鑫杰老师携手深圳网警破获诈骗团伙
• 非法卡盟网站犯罪溯源 - 互联网黑灰产案例讲解
• Kali Linux 渗透测试入门导论 - 白帽子黑客神兵利器系列
• Shodan撒旦黑暗搜索引擎实战指南 - 社会工程学必备技能
• Nmap 最强悍的端口扫描器 - 白帽子黑客神兵利器系列
• WiFi无线安全攻防-无线黑客揭秘幽灵魅影下的十面埋伏

【公益训练营】by @拼客学院陈鑫杰

• 5天速成白帽子黑客
• 5天Python实战营
• 1周入门Linux云计算

【职业路线图】by @拼客学院陈鑫杰

• 100天晋升Web安全工程师/白帽子黑客/渗透测试
• 全栈网络安全专家/Web安全工程师/白帽子黑客/

【了解更多】

• 知乎专栏：跟杰哥学网络安全
• @拼客学院：www.pinginglab.net（网络安全/Python开发/Linux云计算/大数据）
• 微信公众号：拼客学院服务号（搜索"pinginglab"回复”知乎“）