推荐一本PHP程序猿都应该拜读的书


Posted in PHP onDecember 31, 2014

PHP这几年口碑很差。关于它的“糟糕设计的汇总”和语法上的矛盾有着大量的讨论,但是主要的抱怨通常是安全。很多PHP站点分分钟被黑掉,甚至一些有经验的、有见识的程序员会说,这门语言本身是不安全的。

我总是对此持反对意见,因为有常识性的原因,有如此多的PHP安全违反现象。

PHP应用程序经常被黑掉是由于

PHP应用程序太多了。
它易于学习和编写。
糟糕的PHP也容易编写。

 就是这么简单。PHP流行好多年了。PHP越是受欢迎,它被发现的漏洞就越多。这些黑客发现的漏洞很少是PHP处理引擎本身的,通常是脚本本身的弱点。

这意味着,当一个PHP应用程序被黑掉的时候,大多数是程序员的错误。对不起,但这是事实。

你可以和其它web语言一样编写安全的PHP。是时候开始真正探索安全问题了。

推荐一本PHP程序猿都应该拜读的书

防止PHP hack的最佳防护

编写安全的PHP代码不是一个对PHP开发者隐藏的、秘密的黑色艺术。但是信心太零散了,你需要花费数周或数月(或不再这么长时间)去收集某些散篇目录或法则的、好的安全实践。甚至只有真的经验才会告诉你它有多重要。

幸亏Ben Edmunds已经为你做好了。它最近出版了《Building Secure PHP Apps ? a Practical Guide》,它是我读过的最好的安全相关的书籍之一,当然也是最好地涵盖了PHP。本文我将详述为什么我认为每个PHP开发者应当阅读。

本书是个简明指导,把你带到做为一名开发者的下一个等级,让你打造更好、更安全的脚本。

简介

本书很快就进入了web开发的常识规则:不要相信你的用户,过滤所有输入。从一个小情景开始,跳到了用户能够进入系统的技术方法。第一章的主题有:

SQL注入
大量赋值字段
类型转换
过滤输入/输出

这些都是PHP新手(和一些老手)一直容易忽视的地方。过滤输入被很多人看作是可选的一步,这一章做了大量讨论。

在阅读过程中,让我想起了多年前我的第一天工作,当时我深挖现存代码,找到了新用户创建脚本的代码:

if ($_POST["isadmin"] == 1) {

// code to set to admin in database 

}

当看到这段代码时,我感到非常恐慌,因为它是一个非常有效的脚本,很容易被一个恶意用户搞定,猜出来并插入一个简单的表单变量,进而访问大约5,000个信用卡卡号和其他的个人信息。

深挖后我发现如下代码:

$sql = "INSERT INTO database (id,name,...) VALUES (" . $_POST["Name"] . ");"

我在第一天差不多就走出了那份工作,因为他们正依靠这些可怕的代码。这些代码就在那儿,由你负责改变,一定要避免产生更多。

本章讨论了像这样的代码为什么是巨大的风险,以及如何修复。

HTTPS和证书

这是另一个领域,Ben包含了脚本、故事和一点点幽默,同时也清晰地解释了不太清晰的HTTPS的概念。他解释的方式,甚至你的老板都能理解。

本书非常全面地描述了证书的工作原理、证书类型以及实现方法,甚至包括如何在Apache或Nginx上部署。

密码

本书对于密码、哈希、表查询(lookup tables)和salts做了仔细的解释,这对开发人员创建用户登录系统有着令人难以置信的帮助。

这是一个甚至在2014年都极度缺乏的领域。我仍然能碰到过存储纯文本的密码或像ROT13加密【注1】来保护他们的愚蠢方法的应用程序。为了让人们使用你的应用程序,以及你的好名声,请不要这样做。

密码和其它敏感数据应该非常难以获取,甚至有人拿到数据库的所有权限。这本书很全面地包括了,会给你设计更好系统的不错指导。

身份验证和访问控制

本书包含的主题非常全面。当你构建新的PHP应用程序时,某些首要考虑是:

谁能够访问哪些资源?
谁能够控制其他用户访问?

这是考虑应用程序、特别是处理敏感数据的应用程序的重要地方。企业里的相当一部分开发就是致力于此。如果你不正确地建立了身份验证和访问控制,最可能发生的就是你让用户感到困扰,并产生了更多的工作。比这更糟糕的是服务器数据缺口 以及/或者 数据毁坏。

本书很好地覆盖了基础知识,然后它深入到像控制访问文件或应用程序单个页面之类的工作,还有很多供参考的代码示例。

特定利用

本书涵盖了一些普通的利用来破坏系统,非常详细地探索了跨站点脚本,它可以说是攻击者利用应用程序的最普通的方法。它解释了不同种类的攻击,以及如何保护自己。

不错吧?你能够通过这个链接打折购书!

我最喜欢这本书的地方

在阅读本书过程中,我真正享受的是,信息是如何以对于初学者和有经验的程序员都有用的方式呈现的。有一系列概念被提出,它们是什么以及如何自我保护。有大量的代码示例,而不像一些技术书籍所具备的“填充码”。

你可以很快通读本书,因为没有太多内容。新手可以通读本书,检查每个主题,开始看看他们的代码,并作出修正。记住在这个事情上,你需要持续修改。如果你回头看看,一定会为六个月前写的代码感到羞愧,你在做正确的事情。

更高级的、有经验的程序员可以使用这个指南填补他们的弱点(不管你在这个行当多长时间了,你有弱点的,承认吧),更好地了解他们在工作中使用的系统。例如,这么多年我疯了似的使用身份验证,但是从来没有在本书提到的层面考虑过。

不管你是谁,你会学到东西的。因此不要看本文了,去买一份拷贝吧!使用这个链接购买是有折扣的!!

PHP 相关文章推荐
PHP中查询SQL Server或Sybase时TEXT字段被截断的解决方法
Mar 10 PHP
超级简单的php+mysql留言本源码
Nov 11 PHP
PHP设计模式之装饰者模式
Feb 29 PHP
PHP三元运算的2种写法代码实例
May 12 PHP
PHP 数组遍历foreach语法结构及实例
Jun 13 PHP
php 基础函数
Feb 10 PHP
PHP基于imagick扩展实现合成图片的两种方法【附imagick扩展下载】
Nov 14 PHP
PHP实现模拟http请求的方法分析
Dec 20 PHP
详解PHP发送邮件知识点
May 06 PHP
浅析php如何实现爬取数据原理
Sep 27 PHP
提高Laravel应用性能方法详解
Jun 24 PHP
PHP实现关键字搜索后描红功能示例
Jul 03 PHP
推荐10个提供免费PHP脚本下载的网站
Dec 31 #PHP
php使用google地图应用实例
Dec 31 #PHP
php将文本文件转换csv输出的方法
Dec 31 #PHP
19个Android常用工具类汇总
Dec 30 #PHP
php+ajax实现文章自动保存的方法
Dec 30 #PHP
php实现监控varnish缓存服务器的状态
Dec 30 #PHP
php在线解压ZIP文件的方法
Dec 30 #PHP
You might like
2020最新CPU的性能排名
2020/04/02 数码科技
一棵php的类树(支持无限分类)
2006/10/09 PHP
PHP call_user_func和call_user_func_array函数的简单理解与应用分析
2019/11/25 PHP
PHP fopen中文文件名乱码问题解决方案
2020/10/28 PHP
AeroWindow 基于JQuery的弹出窗口插件
2011/06/27 Javascript
基于jquery的点击链接插入链接内容的代码
2012/07/31 Javascript
js用Date对象的setDate()函数对日期进行加减操作
2014/09/18 Javascript
node.js中的events.emitter.removeListener方法使用说明
2014/12/10 Javascript
JavaScript简介
2015/02/15 Javascript
js实现的页面矩阵图形变换特效
2016/01/26 Javascript
Bootstrap创建可折叠的组件
2016/02/23 Javascript
关于input全选反选恶心的异常情况
2016/07/24 Javascript
[js高手之路]设计模式系列课程-发布者,订阅者重构购物车的实例
2017/08/29 Javascript
Vuejs实现购物车功能
2017/11/05 Javascript
vue数组对象排序的实现代码
2018/06/20 Javascript
Vue.js仿Select下拉框效果
2020/02/18 Javascript
Python中函数的多种格式和使用实例及小技巧
2015/04/13 Python
Python操作RabbitMQ服务器实现消息队列的路由功能
2016/06/29 Python
django实现同一个ip十分钟内只能注册一次的实例
2017/11/03 Python
python机器学习实战之树回归详解
2017/12/20 Python
Python将多个excel表格合并为一个表格
2021/02/22 Python
Python实现的字典值比较功能示例
2018/01/08 Python
详解python 爬取12306验证码
2019/05/10 Python
PyCharm 创建指定版本的 Django(超详图解教程)
2019/06/18 Python
Python获取android设备cpu和内存占用情况
2020/11/15 Python
CSS3中HSL和HSLA的简单使用示例
2015/07/14 HTML / CSS
魅力惠奢品线上平台:MEI.COM
2016/11/29 全球购物
圣诞树世界:Christmas Tree World
2019/12/10 全球购物
广州御银科技股份有限公司试卷(C++)
2016/11/04 面试题
品学兼优的大学生自我评价
2013/09/20 职场文书
出纳工作岗位责任制
2014/02/02 职场文书
公务员保密承诺书
2014/03/27 职场文书
差生评语大全
2014/05/04 职场文书
公务员政审单位鉴定材料
2014/05/16 职场文书
小城镇建设汇报材料
2014/08/16 职场文书
自主招生推荐信格式模板
2015/03/24 职场文书