php這幾年口碑很差。關於它的「糟糕設計的彙總」和語法上的矛盾有著大量的討論,但是主要的抱怨通常是安全。很多php站點分分鐘被黑掉,甚至一些有經驗的、有見識的程式設計師會說,這門語言本身是不安全jzafxt的。
我總是對此持反對意見,因為有常識性的原因,有如此多的php安全違反現象。
php應用程式經常被黑掉是由於:
php應用程式太多了。
它易於學習和編寫。
糟糕的php也容易編寫。
就是這麼簡單。php流行好多年了。php越是受歡迎,它被發現的漏洞就越多。這些黑客發現的漏洞很少是php處理引擎本身的,通常是指令碼本身的弱點。
這意味著,當乙個php應用程式被黑掉的時候,大多數是程式設計師jzafxt的錯誤。對不起,但這是事實。
你可以和其它web語言一樣編寫安全的php。是時候開始真正探索安全問題了。
防止php hack的最佳防護
編寫安全的php**不是乙個對php開發者隱藏的、秘密的黑色藝術。但是信心太零散了,你需要花費數週或數月(或不再這麼長時間)去收集某些散篇目錄或法則的、好的安全實踐。甚至只有真的經驗才會告訴你它有多重程式設計客棧要。
幸虧ben edmunds已經為你做好了。它最近出版了《building secure php apps – a practical guide》,它是我讀過的最好的安全相關的書籍之一,當然也是最好地涵蓋了php。本文我將詳述為什麼我認為每個php開發者應當閱讀。
本書是個簡明指導,把你帶到做為一名開發者的下乙個等級,讓你打造更好、更安全的指令碼。
簡介本書很快就進入了web開發的常識規則:不要相信你的使用者jzafxt,過濾所有輸入。從乙個小情景開始,跳到了使用者能夠進入系統的技術方法。第一章的主題有:
sql注入
大量賦值字段
型別轉換
過濾輸入/輸出
這些都是php新手(和一些老手)一直容易忽視的地方。過濾輸入被很多人看作是可選的一步,這一章做了大量討論。
在閱讀過程中,讓我想起了多年前我的第一天工作,當時我深挖現存**,找到了新使用者建立指令碼的**:
複製** **如下:
if ($_post["isadmin"] == 1)
當看到這段**時,我感到非常恐慌,因為它是乙個非常有效的指令碼,很容易被乙個惡意使用者搞定,猜出來並插入乙個簡單的表單變數,進而訪問大約5,000個信用卡卡號和其他的個人資訊。
深挖後我發現如下**:
複製** **如下:
$sql = "insert into database (id,name,...) values (" . $_post["name"] . ");"
我在第一天差不多就走出了那份工作,因為他們正依靠這些可怕的**。這些**就在那兒,由你負責改變,一定要避免產生更多。
本章討論了像這樣的**為什麼是巨大的風險,以及如何修復。
https和證書
這是另乙個領域,ben包含了指令碼、故事和一點點幽默,同時也清晰地解釋了不太清晰的https的概念。他解釋的方式,甚至你的老闆都能理解。
本書非常全面地描述了證書的工作原理、證書型別以及實現方法,甚至包括如何在apache或nginx上部署。
密碼本書對於密碼、雜湊、表查詢(lookup tables)和salts做了仔細的解釋,這對開發人員建立使用者登入系統有著令人難以置信的幫助。
這是乙個甚至在2023年都極度缺乏的領域。我仍然能碰到過儲存純文字的密碼或像rot13加密【注1】來保護他們的愚蠢方法的應用程式。為了讓人們使用你的應用程式,以及你的好名聲,請不要這樣做。
密碼和其它敏感資料應該非常難以獲取,甚至有人拿到資料庫的所有許可權。這本書很全面地包括了,會給你設計更好系統的不錯指導。
身份驗證和訪問控制
本書包含的主題非常全面。當你構建新的php應用程式時,某些首要考慮是:
誰能夠訪問哪些資源?
誰能夠控制其他使用者訪問?
這是考慮應用程式、特別是處理敏感資料的應用程式的重要地方。企業裡的相當一部分開發就是致力於此。如果你不正確地建立了身份驗證和訪問控制,最可能發生的就是你讓使用者感到困擾,並產生了更多的工作。比這更糟糕的是伺服器資料缺口 以及/或者 資料毀壞。
本書很好地覆蓋了基礎知識,然後它深入到像控制訪問檔案或應用程式單個頁面之類的工作,還有很多供參考的**示例。
特定利用
本書涵蓋了一些普通的利用來破壞系統,非常詳細地探索了跨站點指令碼,它可以說是攻擊者利用應用程式的最普通的方法。它解釋了不同種類的攻擊,以及如何保護自己。
不錯吧?你能夠通過這個鏈結打折購書!
我最喜歡這本書的地方
在閱讀本書過程中,我真正享受的是,資訊是如何以對於初學者和有經驗的程式設計師都有用的方式呈現的。有一系列概念被提出,它們是什麼以及如何自我保護。有大量的**示例,而不像一些技術書籍所具備的「填充碼」。
你可以很快通讀本書,因為沒有太多內容。新手可以通讀本書,檢查每個主題,開始看看他們的**,並作出修正。記住在這個事情上,你需要持續修改。如果你回頭看看,一定會為六個月前寫的**感到羞愧,你在做正確的事情。
更高階的、有經驗的程式設計師可以使用這個指南填補他們的弱點(不管你在這個行當多長時間了,你有弱點的,承認吧),更好地了解他們在工作中使用的系統。例如,這麼多年我瘋了似的使用身份驗證,但是從來沒有在本書提到的層面考慮過。
本文位址: /wangluo/php/117852.html
PHP程式設計師都應該知道的五個工具
php程式設計師都應該知道的五個工具 在參與了幾個大型php專案,寫了很多php 以後,我發現很多任務具可以提高 質量,簡化發布,使得做為php開發人員的生涯變得輕鬆許多。許多這樣 的工具可能已經為大家所用。但是,由於一些人甚至沒有注意到這些工具的存在,我會從此開始,好了,不說廢話,下面是我認為所有...
PHP程式設計師都應該知道的五個工具
在參與了幾個大型php專案,寫了很多php 以後,我發現很多任務具可以提高 質量,簡化發布,使得做為php開發人員的生涯變得輕鬆許多。許多這樣的工具可能已經為大家所用。但是,由於一些人甚至沒有注意到這些工具的存在,我會從此開始,好了,不說廢話,下面是我認為所有php程式設計師應該知道的工具列表。ph...
所有PHP程式設計師都應該知道的五個工具
3529個讀者翻譯 子非魚 09 10 2007原文引用雙語對照及眉批 在參與了幾個大型php專案,寫了很多php 以後,我發現很多任務具可以提高 質量,簡化發布,使得做為php開發人員的生涯變得輕鬆許多。許多這樣 的工具可能已經為大家所用。但是,由於一些人甚至沒有注意到這些工具的存在,我會從此開始...