标签归档:apache mysql php

PHP应用程序安全编程读后总结

PHP应用程序安全编程读后总结
用两天的时间把这本书看完了,说实话没有啥感触,觉得有些东西就是提了一下,根本没有做深入的讨论(本来这本书也就这个价格,呵呵),
应该算是初级的书,可用作web安全扫盲

第一章是本书总起的章节,web本来就是不安全的,我们编码人员的作用是将安全依照实际需要尽可能的提高,防止“黑客”可以很简单的入侵,给他们造成一些麻烦。
第二章以一个简单的SQL注入开头(这样的注入。。。。),表明本书使用的是一个留言本的实例
然后就考虑构建错误处理系统
第三章是说明系统调用的风险,告诉我们使用escapeshellcmd和excapeshellarg函数保护系统调用
第四章,缓冲区溢出,简单的告诉我们缓冲区溢出的原理,以及需要关注PHP的安全或其它漏洞信息,针对此问题,建议对输入的变量进行整理(即给予一些判断后再使用)
第五章,验证输入,作者想要告诉我们的是,当你整理了进入应用程序的所有数据后,你将可以预防大量常规攻击类型,确实,所有的用户输入都是不可相信的,在这点上非常认同作者的观点
另外,作者有提出使用正则验证输入,还就此作了相对详细的介绍
第六章,文件系统访问,关于本地文件和远程文件的打开,文件的存储,权限的设置作了粗略的介绍,但是就window的权限作了很详细的菜鸟图解说明(点点点点)另外就文件上传程序作了一些安全方面的说明
第七八章,身份验证,加密,简单说明什么是身份验证及其分类,很那啥啥啥的就window的文件权限作了详细的介绍,然后就是加密及一些加密算法的简单介绍
第九章,会话安全性,介绍了会话的三种攻击类型,劫持(Hijacking),固化(Fixation)和注入(Injection)
以及三种常见的会话防御的方法:用户代理验证,IP地址验证,二级令牌,不过都是简单介绍,这三种会话攻击只是注入攻击的一种方式
第十章,跨站式脚本编程(XSS),它分为反射式或非持久性和存储式或持久性两种类型,仅一页纸(点点点)
第十一,十二章,保护Apache和MySQL,iis SQL server,这两章就是将如何安装这4个东东,然后是一些基本的安全设置(菜鸟教程),不过针对配置项的一些东西可以看看
第十三章,服务器端PHP的安全性,作者建议使用最新版本的PHP(可是,在生产环境下如何要更换PHP版本,嘿嘿,)然后简单介绍了一些安全方案(可长见识,偶没用过)
然后是对PHP的一些安全配置(PHP程序员对这个应该会有有一些了解)
第十四章,自动化测试介绍,还是简单介绍simpleTest
第十五章,探索性测试介绍,基本上是简单的介绍了一些测试安全性的工具
第十六章,从开始阶段设计安全的应用程序,个人觉得这应该是本书比较有价值的地方,对一些文档化和规范化的东西进行了说明,
第十七章,去除已有应用程序的安全漏洞,说明了使用三阶段进行系统的部署,开发环境==>测试环境==>生产环境
然后建议使用版本控制,然后简单介绍了提高应用程序安全的检查列表
第十八章,安全是生活方式的选择:成为一个优秀的编程人员
避免过多特性,编写自文档化代码,使用适合工作的工具,执行同事间的代码评审,
这四点,个人觉得非常有必要,在平时的工作中就代码规范,代码评审等都有做,但是没有完全执行
就工具,觉得还是选择一款个人比较偏好的,
除非是公司要求用IDE,否则用编辑器吧,比如vim
此编辑器在一般情况下是不需要鼠标的,另外在windows和linux下都有相关版本可以使用

在本书中有多次告诉我们一个很好的习惯,对于一些功能点以API的形式给出,最好是独立成相关的模块或控件

另:介绍另一本书,黑客攻防技术宝典
个人觉得比这本书要详细得多,很多方面都有详细的说明,比如说SQL注入等等

ubuntu系统安装和lamp安装

ubuntu系统安装和lamp安装
前些日子一直在XP和windows7下徘徊,觉得windows7很帅,但是有些慢,特别是装了apache后运行PHP巨慢
所以重装了系统,在周末给自己装了XP和utunbu双系统。总共整了两天,才算是系统装好,这还不包括那些特效之类的东东
第一步,下载官方网站的iso文件,http://www.ubuntu.org.cn/getubuntu/download/
第二步,可以选择硬盘安装,也可以选择光盘安装,
硬盘安装,出于节省的目的,我开始选择的从硬盘安装,在google狂搜后找到相关的说明,使用CRUB等,参照http://forum.ubuntu.org.cn/viewtopic.php?f=77&t=217161
依据这样做我可以看到安装的界面,并且到了第三步和第四步之间,即选择了键盘布局之后,就一直停在那,不动了,我以为安装失败了在  http://hi.baidu.com/serial_story/blog/item/90ddb8946900f617d31b70ca.html有说是可能硬盘文件太多导致的。所以我选择从光盘安装,结果失败
光盘安装,  在这里我选择使用nero烧录,光盘录制好后,重启,从光盘启动安装,与从硬盘安装一样,到了扫描硬盘后就无法进行下去了,结果失败
使用wubi安装,但是在进行在快要完成的时候,它又不动了,怎么办呢?google吧,网上有人说是语言,是网络的问题,于是我把网络关掉,语言换成English,结果仍然是失败,与硬盘安装
如出一辙。但是在一次次尝试过程中,有一次使用wubi时,没有把光盘拿出来,结果它装好了,而且还跑得不错。RP啊

安装好ubuntu后,咱得搞点开发环境了,于是lamp就提上了日程,一开始我使用源码安装,那个痛苦啊,不好说,主要是以前没有用过linux,所以。。。
痛定思痛后,改使用apt-get安装

buntu下安装 apache+php+mysql

sudo apt-get install mysql-server mysql-client

sudo apt-get install apache2

sudo apt-get install php5 libapache2-mod-php5

sudo /etc/init.d/apache2 restart

在地址栏中输入http://loalhost/
如果可以看到显示

It works!

则表示apache安装成功!

在/var/www/目录下新建一个PHP文件,在里面写入

<?PHP
phppath();
?>

如果有显示PHP相关信息,则表示php和apache安装整合成功,

如果要把mysql的datadir换一个地方,请移步http://forum.ubuntu.org.cn/viewtopic.php?f=44&t=172891的第6楼

附:

sudo /etc/init.d/apache2 restart (重启 apache)

sudo /etc/init.d/mysql restart (重启mysql)

sudo gedit /etc/php5/apache2/php.ini (配置 php.ini)

sudo gedit /etc/apache2/apache2.conf (配置 apache2.conf)

/var/www/(主目录位置)

另:
ubuntu发行版本的主配置文件是:

apache2.conf

在apache2.conf引用到了以下文件:

# 包含动态模块的配置:

Include /etc/apache2/mods-enabled/*.load

Include /etc/apache2/mods-enabled/*.conf

# 包含用户自己的配置:

Include /etc/apache2/httpd.conf

# 包含端口监听的配置:

Include /etc/apache2/ports.conf

# 包含一般性的配置语句片断:

Include /etc/apache2/conf.d/

# 包含虚拟主机的配置指令:

Include /etc/apache2/sites-enabled/

修改httpd.conf

增加以下内容:

ServerName 127.0.0.1:80