PHP应用程序安全编程_在线百科全书查询
PHP应用程序安全编程
图书信息
作 者:巴雷德 等著,姜燕梅 等译出 版 社:机械工业出版社
出版时间:2010-1-1
版 次:1
页 数:208
印刷时间:2010-1-1
开 本:16开
纸 张:胶版纸
印 次:1
I S B N:9787111291817
包 装:平装
内容简介
本书通过实际情景、示例代码深入浅出地介绍了经常困挠PHP Web应用程序开发人员的常见安全问题。主要内容包括:去除应用程序安全漏洞,防御PHP攻击,提高运行PHP代码的服务器安全,实施严格的身份验证以及加密应用程序,预防跨站点脚本攻击,系统化测试应用程序安全性,解决第三方应用程序已有漏洞等。
本书内容丰富,理论和实践紧密结合。通过详细概念说明和完整实例代码,读者可以轻松将自己所学的理论知识付诸实践。本书适用于各个阶段的Web应用程序开发人员。
本书将帮助你掌握编写可靠的PHP代码和提高你正在使用的PHP软件安全所需的技术、技巧以及最佳实践。作者揭示经常困挠PHP程序开发人员的常见代码安全问题,同时给出实用且专业的解决方案——不管你拥有多少PHP编程经验,这些技术都非常容易理解和使用。
本书具体包括
从起步阶段设计安全的应用程序——去除已有应用程序安全漏洞。
防御PHP自身无法防御的会话劫持、固化以及毒化攻击。
作者简介
Tricia Ballad 在成为专职技术写作人员之前,她花费了几年时间从事LAMP(Linux、Apache、MySQL和PHP/Perl)平台上的Web应用程序开发工作。目前她专门编写不同技术的在线课件。
目录
译者序
第一篇 Web开发是血腥运动——不打无准备仗
第1章 服务器安全问题以及其他高深问题
1.1 现实检查
1.2 服务器安全问题
1.2.1 黑客通过非安全应用程序获得控制权
1.2.2 编程人员可以提高应用程序的安全性
1.3 安全困惑
1.4 自身的会话管理提供安全性
1.5 “我的应用程序并不值得攻击”
1.6 “门卫”的典型表现
1.7 小结
第二篇 安全漏洞是否大到能开大卡车
第2章 处理错误
2.1 留言板应用程序
2.1.1 程序总结
2.1.2 主要代码清单
2.2 用户执行过度操作
2.2.1 这些代码会产生什么结果
2.2.2 期待非期望输入
2.3 构建错误处理机制
2.3.1 测试非期望输入
2.3.2 决定如何处理错误数据
2.3.3 简化系统的使用
2.4 小结
第3章 系统调用
3.1 了解exec()、system()以及backtick的风险
3.1.1 通过SUID位和sudo使用系统命令
3.1.2 使用系统资源
3.2 使用escapeshellcmd()和escapeshellarg()保护系统调用
3.2.1 escapeshellcmd()
3.2.2 escapeshellarg()
3.3 创建能够处理所有系统调用的API
3.3.1 为什么不转义参数呢
3.3.2 验证用户输入
3.4 修补留言板应用程序
3.4.1 moveFile()函数
3.4.2 修补应用程序
3.5 小结
第三篇 名称里的内涵,远多于你所期望的
第4章 缓冲区溢出和变量整理
第5章 验证输入
第6章 文件系统访问:访问文件系统的乐趣和益处
第四篇 “噢,你可以信任我”
第7章 身份验证
第8章 加密
第9章 会话安全性
第10章 跨站式脚本编程
第五篇 夜晚得锁门
第11章 保护Apache和MySQL
第12章 IIS和SQL Server的安全性…
第13章 服务器端PHP的安全性
第14章 自动化测试介绍
第15章 探索性测试介绍
第六篇 “不被攻击”并不是一个可行的安全策略
第16章 计划A:从开始阶段设计安全的应用程序
第17章 计划B:去除已有应用程序的安全漏洞
第18章 安全是生活方式的选择:成为一个优秀的编程人员
附录 额外资源
术语表
