PHP应用程序安全编程读后总结
用两天的时间把这本书看完了,说实话没有啥感触,觉得有些东西就是提了一下,根本没有做深入的讨论(本来这本书也就这个价格,呵呵),
应该算是初级的书,可用作web安全扫盲
第一章是本书总起的章节,web本来就是不安全的,我们编码人员的作用是将安全依照实际需要尽可能的提高,防止“黑客”可以很简单的入侵,给他们造成一些麻烦。
第二章以一个简单的SQL注入开头(这样的注入。。。。),表明本书使用的是一个留言本的实例
然后就考虑构建错误处理系统
第三章是说明系统调用的风险,告诉我们使用escapeshellcmd和excapeshellarg函数保护系统调用
第四章,缓冲区溢出,简单的告诉我们缓冲区溢出的原理,以及需要关注PHP的安全或其它漏洞信息,针对此问题,建议对输入的变量进行整理(即给予一些判断后再使用)
第五章,验证输入,作者想要告诉我们的是,当你整理了进入应用程序的所有数据后,你将可以预防大量常规攻击类型,确实,所有的用户输入都是不可相信的,在这点上非常认同作者的观点
另外,作者有提出使用正则验证输入,还就此作了相对详细的介绍
第六章,文件系统访问,关于本地文件和远程文件的打开,文件的存储,权限的设置作了粗略的介绍,但是就window的权限作了很详细的菜鸟图解说明(点点点点)另外就文件上传程序作了一些安全方面的说明
第七八章,身份验证,加密,简单说明什么是身份验证及其分类,很那啥啥啥的就window的文件权限作了详细的介绍,然后就是加密及一些加密算法的简单介绍
第九章,会话安全性,介绍了会话的三种攻击类型,劫持(Hijacking),固化(Fixation)和注入(Injection)
以及三种常见的会话防御的方法:用户代理验证,IP地址验证,二级令牌,不过都是简单介绍,这三种会话攻击只是注入攻击的一种方式
第十章,跨站式脚本编程(XSS),它分为反射式或非持久性和存储式或持久性两种类型,仅一页纸(点点点)
第十一,十二章,保护Apache和MySQL,iis SQL server,这两章就是将如何安装这4个东东,然后是一些基本的安全设置(菜鸟教程),不过针对配置项的一些东西可以看看
第十三章,服务器端PHP的安全性,作者建议使用最新版本的PHP(可是,在生产环境下如何要更换PHP版本,嘿嘿,)然后简单介绍了一些安全方案(可长见识,偶没用过)
然后是对PHP的一些安全配置(PHP程序员对这个应该会有有一些了解)
第十四章,自动化测试介绍,还是简单介绍simpleTest
第十五章,探索性测试介绍,基本上是简单的介绍了一些测试安全性的工具
第十六章,从开始阶段设计安全的应用程序,个人觉得这应该是本书比较有价值的地方,对一些文档化和规范化的东西进行了说明,
第十七章,去除已有应用程序的安全漏洞,说明了使用三阶段进行系统的部署,开发环境==>测试环境==>生产环境
然后建议使用版本控制,然后简单介绍了提高应用程序安全的检查列表
第十八章,安全是生活方式的选择:成为一个优秀的编程人员
避免过多特性,编写自文档化代码,使用适合工作的工具,执行同事间的代码评审,
这四点,个人觉得非常有必要,在平时的工作中就代码规范,代码评审等都有做,但是没有完全执行
就工具,觉得还是选择一款个人比较偏好的,
除非是公司要求用IDE,否则用编辑器吧,比如vim
此编辑器在一般情况下是不需要鼠标的,另外在windows和linux下都有相关版本可以使用
在本书中有多次告诉我们一个很好的习惯,对于一些功能点以API的形式给出,最好是独立成相关的模块或控件
另:介绍另一本书,黑客攻防技术宝典
个人觉得比这本书要详细得多,很多方面都有详细的说明,比如说SQL注入等等