推荐一本PHP程序猿都应该拜读的书
PHP这几年口碑很差。关于它的“糟糕设计的汇总”和语法上的矛盾有着大量的讨论,但是主要的抱怨通常是安全。很多PHP站点分分钟被黑掉,甚至一些有经验的、有见识的程序员会说,这门语言本身是不安全的。
我总是对此持反对意见,因为有常识性的原因,有如此多的PHP安全违反现象。
PHP应用程序经常被黑掉是由于:
PHP应用程序太多了。
它易于学习和编写。
糟糕的PHP也容易编写。
就是这么简单。PHP流行好多年了。PHP越是受欢迎,它被发现的漏洞就越多。这些黑客发现的漏洞很少是PHP处理引擎本身的,通常是脚本本身的弱点。
这意味着,当一个PHP应用程序被黑掉的时候,大多数是程序员的错误。对不起,但这是事实。
你可以和其它web语言一样编写安全的PHP。是时候开始真正探索安全问题了。
防止PHP hack的最佳防护
编写安全的PHP代码不是一个对PHP开发者隐藏的、秘密的黑色艺术。但是信心太零散了,你需要花费数周或数月(或不再这么长时间)去收集某些散篇目录或法则的、好的安全实践。甚至只有真的经验才会告诉你它有多重要。
幸亏Ben Edmunds已经为你做好了。它最近出版了《Building Secure PHP Apps – a Practical Guide》,它是我读过的最好的安全相关的书籍之一,当然也是最好地涵盖了PHP。本文我将详述为什么我认为每个PHP开发者应当阅读。
本书是个简明指导,把你带到做为一名开发者的下一个等级,让你打造更好、更安全的脚本。
简介
本书很快就进入了web开发的常识规则:不要相信你的用户,过滤所有输入。从一个小情景开始,跳到了用户能够进入系统的技术方法。第一章的主题有:
SQL注入
大量赋值字段
类型转换
过滤输入/输出
这些都是PHP新手(和一些老手)一直容易忽视的地方。过滤输入被很多人看作是可选的一步,这一章做了大量讨论。
在阅读过程中,让我想起了多年前我的第一天工作,当时我深挖现存代码,找到了新用户创建脚本的代码:
if ($_POST["isadmin"] == 1) {
// code to set to admin in database
}
当看到这段代码时,我感到非常恐慌,因为它是一个非常有效的脚本,很容易被一个恶意用户搞定,猜出来并插入一个简单的表单变量,进而访问大约5,000个信用卡卡号和其他的个人信息。
深挖后我发现如下代码:
$sql = "INSERT INTO database (id,name,...) VALUES (" . $_POST["Name"] . ");"
我在第一天差不多就走出了那份工作,因为他们正依靠这些可怕的代码。这些代码就在那儿,由你负责改变,一定要避免产生更多。
本章讨论了像这样的代码为什么是巨大的风险,以及如何修复。
HTTPS和证书
这是另一个领域,Ben包含了脚本、故事和一点点幽默,同时也清晰地解释了不太清晰的HTTPS的概念。他解释的方式,甚至你的老板都能理解。
本书非常全面地描述了证书的工作原理、证书类型以及实现方法,甚至包括如何在Apache或Nginx上部署。
密码
本书对于密码、哈希、表查询(lookup tables)和salts做了仔细的解释,这对开发人员创建用户登录系统有着令人难以置信的帮助。
这是一个甚至在2014年都极度缺乏的领域。我仍然能碰到过存储纯文本的密码或像ROT13加密【注1】来保护他们的愚蠢方法的应用程序。为了让人们使用你的应用程序,以及你的好名声,请不要这样做。
密码和其它敏感数据应该非常难以获取,甚至有人拿到数据库的所有权限。这本书很全面地包括了,会给你设计更好系统的不错指导。
身份验证和访问控制
本书包含的主题非常全面。当你构建新的PHP应用程序时,某些首要考虑是:
谁能够访问哪些资源?
谁能够控制其他用户访问?
这是考虑应用程序、特别是处理敏感数据的应用程序的重要地方。企业里的相当一部分开发就是致力于此。如果你不正确地建立了身份验证和访问控制,最可能发生的就是你让用户感到困扰,并产生了更多的工作。比这更糟糕的是服务器数据缺口 以及/或者 数据毁坏。
本书很好地覆盖了基础知识,然后它深入到像控制访问文件或应用程序单个页面之类的工作,还有很多供参考的代码示例。
特定利用
本书涵盖了一些普通的利用来破坏系统,非常详细地探索了跨站点脚本,它可以说是攻击者利用应用程序的最普通的方法。它解释了不同种类的攻击,以及如何保护自己。
不错吧?你能够通过这个链接打折购书!
我最喜欢这本书的地方
在阅读本书过程中,我真正享受的是,信息是如何以对于初学者和有经验的程序员都有用的方式呈现的。有一系列概念被提出,它们是什么以及如何自我保护。有大量的代码示例,而不像一些技术书籍所具备的“填充码”。
你可以很快通读本书,因为没有太多内容。新手可以通读本书,检查每个主题,开始看看他们的代码,并作出修正。记住在这个事情上,你需要持续修改。如果你回头看看,一定会为六个月前写的代码感到羞愧,你在做正确的事情。
更高级的、有经验的程序员可以使用这个指南填补他们的弱点(不管你在这个行当多长时间了,你有弱点的,承认吧),更好地了解他们在工作中使用的系统。例如,这么多年我疯了似的使用身份验证,但是从来没有在本书提到的层面考虑过。
不管你是谁,你会学到东西的。因此不要看本文了,去买一份拷贝吧!使用这个链接购买是有折扣的!!
-
推荐阅读 David Goodger的 Code Like a Pythonista: Idiomatic Python 包含了很多实用的Python例子和技术。 Doug Hellmann的 Python Module of the Week 系列的重点是建设一个使用Python标准库中的模块的示例代码的仓库。
-
文档资料 必须 熟记 Laravel 5.5 官方文档,查阅时能快速定位,5 遍以上; 必须 熟记 Laravel 5.5 API 文档 的类结构,查阅时能快速定位; 必须 熟记所有 PSR 通过的标准; PSR 目前还未通过的标准,也要 应该 知晓 http://www.php-fig.org/psr/ 应该 熟悉 PHP 最佳实践 应该 了解 『Rails 信条』 教程 如果你是新手,想从零开
-
这本书是为那些着手开始一个开源软件项目,或已经开始但想知道现在该做什么的软件开发人员和经理们准备的。对那些打算加入一个开源软件项目,但是又没有经验的人,此书也是有所裨益的。 读者不必是程序员,但应该知道软件工程的一些基本概念,比如源代码、编译器和补丁。 无论是作为用户还是开发者,都不必具备开源软件的经验。那些之前在自由软件项目中工作过的人也许会发现这本书中的某些部分太浅显了,可能会想跳过这些章节。
-
关于react生命周期相关的介绍 React.Component components组件思想使得你在开发用户页面的时候,把界面看成是一个个独立、可重用的子块,并且每个块都是隔离于其它板块的。React.Component是React上提供的一个方法! Overview React.Component是一个抽象基础类,我们很少直接提伦它,相反,我们更倾向于关心它的子类,我们在定义组件的时候,最少应
-
我使用Cloud ML引擎开发了一个应用程序,可以从上传的图像中识别图像。我想测试应用程序,并允许特定的人上传图像为未来24小时。并非所有用户都有谷歌账户。你应该如何让用户上传图片? 让用户将图像上传到云存储。使用24小时后过期的密码保护桶 或者 让用户使用24小时后过期的签名网址将图像上传到云存储。
-
本文向大家介绍PHP多进程编程总结(推荐),包括了PHP多进程编程总结(推荐)的使用技巧和注意事项,需要的朋友参考一下 1. 准备 在动手之前,请确定你用的不是M$ Windows平台(因为我没有Windows)。Linux / BSD / Unix应该都是没问题的。确认好了工作环境以后一起来看看我们需要的PHP模块是否都有。打开终端输入下面的命令: $ php -m 这个命令检查并打印当前PHP