Libro moderno, attento alla sicurezza, in PHP?

Naviga le tue risposte
8

Dopo aver creato un semplice sistema di login e provato a proteggerlo da cose come SQL injection, Session Hijacking, XSS, ecc., ho scoperto che mi piace molto fare questo tipo di cose. Mi piacerebbe prendere un libro e approfondire tutti i dettagli riguardanti la sicurezza PHP / database e le tattiche di prevenzione / rilevamento delle intrusioni.

Fondamentalmente, sto volendo apprendere correttamente sin dall'inizio. Ho trovato Essential PHP Security, ma da quando è stato pubblicato nel 2005, immagino che useranno cose come mysql_ (deprecato) e potenzialmente una struttura non OOP. Ho anche utilizzato questa pagina per assistenza insieme alla documentazione di PHP, ma speravo di andare più in profondità (in particolare in materia di sicurezza).

Qualcuno può suggerire un libro che è stato aggiornato per l'uso oggi (quindi ...):

  • Contiene informazioni sulle connessioni PDO
  • Utilizza istruzioni preparate per l'escape delle variabili
  • Utilizza l'approccio orientato agli oggetti per la struttura
  • Include modelli HTML per la separazione delle lingue
  • Prevenzione di XSS, Session Hijacking, intrusioni di Null Byte, Cookie di furto, ecc.

Se non esiste un libro che indirizzi veramente queste cose (ancora), i concetti di Essential PHP Security (o di un altro libro consigliato) possono ancora essere applicati per la maggior parte degli usi oggi?

Grazie per l'input! Sto solo cercando di imparare correttamente ed evitare cattive abitudini.

EDIT: L'ho postato altrove dapprima e molti dei commenti che ho ricevuto erano sulla falsariga di "Non userei PHP" o "Usa jQuery". Perché la sicurezza di PHP non è una buona area di attenzione?

    
posta Phas1c 17.07.2013 - 17:41
fonte

2 risposte

4

Non sono uno sviluppatore PHP, quindi non ho raccomandazioni specifiche, ma dalla mia esperienza posso dare alcune indicazioni generali che potrebbero essere utili.

In primo luogo, acquista il nuovo libro specifico sulla sicurezza di PHP che riesci a trovare. Come stabilito da PHP, e come il mercato del libro tecnico è stato morbido nell'ultimo decennio, non ci sono molte opzioni, ma ce ne sono alcune là fuori. " Protezione delle applicazioni Web PHP " del 2008 è il più recente che sia stato in grado di trovare. I libri più recenti non avranno solo informazioni più aggiornate su PHP, ma anche maggiori informazioni sugli attuali attacchi e minacce.

In secondo luogo, per una più generale educazione allo sviluppo di PHP, cerca un libro con qualcosa come "Avanzate" o "Tecniche" nel titolo, come " Programmazione PHP avanzata e orientata agli oggetti " (Non ho idea se quel libro specifico sia valido.) I libri per principianti (in qualsiasi lingua o tecnologia) sono noti per includere scorciatoie disastrose per motivi di semplicità e raramente, se mai si preoccupano delle migliori pratiche ... Sono progettate per mostrarti come ottenere qualcosa lavorando con la minor quantità di codice possibile, ed è quasi sempre un codice terribile. I libri avanzati hanno il lusso di essere in grado di indirizzare i lettori con conoscenze pregresse in cui le best practice sono più importanti della semplicità assoluta, e molto più probabilmente troverai un libro che incorpori buone pratiche di sicurezza.

Terzo, (e questo può essere ovvio) non fare affidamento solo su un libro per le tue informazioni di sicurezza. Le risorse Internet come il OWASP sito Web saranno sempre molto più attuali e forniranno una maggiore quantità di dettagli sulle attuali pratiche e minacce alla sicurezza.

    
risposta data 17.07.2013 - 18:08
fonte
2

Non è un libro, è un sito ma ho creato tutorial e articoli relativi al PHP sul mio sito Websec.io ( link ). Sono decisamente più recenti del libro di Chris ... date un'occhiata.

EDIT: Da questo post, ho anche pubblicato un set di ebooks specificamente sulla protezione delle applicazioni PHP: securingphp.com .

    
risposta data 18.07.2013 - 16:07
fonte

Leggi altre domande sui tag

In che modo YubiKey protegge la sua chiave segreta? Soluzione HMAC per un'API di riposo