现代、安全意识强的 PHP 书籍?

信息安全 php xss 会话管理
2021-08-29 22:26:38

在创建了一个简单的登录系统并尝试保护它免受 SQL 注入、会话劫持、XSS 等攻击之后,我发现我真的很喜欢做这种事情。我想拿起一本书,深入了解有关 PHP/数据库安全和入侵预防/检测策略的所有细节。

基本上,我想从一开始就正确学习。我找到了 Essential PHP Security,但自从它于 2005 年发布以来,我想他们会使用 mysql_(已弃用)之类的东西,并且可能会使用非 OOP 结构。我也一直在使用这个页面来寻求帮助以及 PHP 文档,但我希望更深入(特别是与安全性有关)。

任何人都可以推荐一本更新后供今天使用的书(所以...):

  • 包含有关 PDO 连接的信息
  • 使用准备好的语句来转义变量
  • 使用面向对象的结构方法
  • 涉及用于分隔语言的 HTML 模板
  • 防止 XSS、Session Hijacking、Null Byte 入侵、Cookie 窃取等。

如果还没有一本书真正解决这些问题,那么 Essential PHP Security(或另一本推荐的书)中的概念是否仍然适用于当今的大多数用途?

感谢您的输入!我只是想好好学习,避免坏习惯。

编辑:我一开始在别处发布了这个,我收到的很多评论都是“我不会使用 PHP”或“使用 jQuery”。为什么 PHP 安全不是一个很好的关注领域?

2个回答

我不是 PHP 开发人员,所以我没有任何具体的建议,但根据我的经验,我可以提供一些可能有用的一般指导。

首先,购买你能找到的最新的 PHP 安全专用书。像 PHP 一样成熟,像过去十年技术书籍市场一样软弱,没有太多选择,但也有一些选择。2008 年的“保护 PHP Web 应用程序”是我能找到的最新版本。较新的书籍不仅会有更多关于 PHP 的最新信息,还会有更多关于当前攻击和威胁的信息。

其次,对于更一般的 PHP 开发教育,请寻找标题中带有“高级”或“技术”之类的书,例如“ PHP 高级和面向对象编程”(我不知道那本书是否好。 ) 初学者书籍(使用任何语言或技术)因为了简单起见而包含灾难性的快捷方式而臭名昭著,而且很少担心最佳实践……它们旨在向您展示如何使用最少的可能的代码,而且它几乎总是糟糕的代码。高级书籍能够以具有先验知识的读者为目标,其中最佳实践比绝对简单更重要,并且您更有可能找到包含良好安全实践的书籍。

第三,(这可能很明显)不要仅仅依靠一本书来获取您的安全信息。诸如OWASP网站之类的 Internet 资源将始终更新,并提供有关当前安全实践和威胁的更多详细信息。

这不是一本书,而是一个站点,但我一直在我的站点 Websec.io ( http://websec.io )上建立一些与 PHP 相关的教程和文章。他们肯定比克里斯的书更新……看看。

编辑:自从这篇文章以来,我还发布了一组专门关于保护 PHP 应用程序的电子书:securephp.com

其它你可能感兴趣的问题
上一篇了解我的服务器如何被用于 DDOS 攻击 下一篇TLS握手被拆除