Разница проста.Один (расширение) работает как обычное расширение, поэтому он сохраняет совместимость с другими расширениями.Другой (патч) нет, поэтому он, скорее всего, сломает другие 3pd расширения.
Теперь следует учитывать, что патч даже не выпущен для самых последних версий (последняя версия патча - 5.3.4, поэтому вы не можете использовать стабильную версию 5.3.5).Теперь вы можете установить более старую версию PHP для использования патча, но это подвергнет вас уязвимостям, закрытым ядром в последней версии.Которое ИМХО не стоит.
Теперь я хотел бы прояснить одну вещь.Suhosin (и другие расширения / патчи и такие вещи, как mod_security) фактически не защищают ваш код.Позвольте мне сказать, что agian, потому что это важно: Он не защищает ваш код .Он закрывает некоторые часто используемые векторы атак и отключает некоторые часто используемые злоупотребления внутренние функции.Но все еще абсолютно возможно иметь уязвимости в вашем коде.
Так что, хотя это может помочь "укрепить" плохой код, это не будет иметь никакого значения с хорошим кодом.Если вы тратите время и силы на защиту своего кода, патч и расширение для всех практических целей бесполезны.Но это похоже на брандмауэр в том смысле, что каждый слой полезен, если он не слишком мешает вам (особенно потому, что практически невозможно написать 100% безопасный код).