PHP这几年口碑很差。关于它的“糟糕设计的汇总”和语法上的矛盾有着大量的讨论,但是主要的抱怨通常是安全。很多PHP站点分分钟被黑掉,甚至一些有经验的、有见识的程序员会说,这门语言本身是不安全的。
我总是对此持反对意见,因为有常识性的原因,有如此多的PHP安全违反现象。
PHP应用程序经常被黑掉是由于:
就是这么简单。PHP流行好多年了。PHP越是受欢迎,它被发现的漏洞就越多。这些黑客发现的漏洞很少是PHP处理引擎本身的,通常是脚本本身的弱点。
这意味着,当一个PHP应用程序被黑掉的时候,大多数是程序员的错误。对不起,但这是事实。
你可以和其它web语言一样编写安全的PHP。是时候开始真正探索安全问题了。
编写安全的PHP代码不是一个对PHP开发者隐藏的、秘密的黑色艺术。但是信心太零散了,你需要花费数周或数月(或不再这么长时间)去收集某些散篇目录或法则的、好的安全实践。甚至只有真的经验才会告诉你它有多重要。
幸亏Ben Edmunds已经为你做好了。它最近出版了《Building Secure PHP Apps – a Practical Guide》,它是我读过的最好的安全相关的书籍之一,当然也是最好地涵盖了PHP。本文我将详述为什么我认为每个PHP开发者应当阅读。
本书是个简明指导,把你带到做为一名开发者的下一个等级,让你打造更好、更安全的脚本。
本书很快就进入了web开发的常识规则:不要相信你的用户,过滤所有输入。从一个小情景开始,跳到了用户能够进入系统的技术方法。第一章的主题有:
这些都是PHP新手(和一些老手)一直容易忽视的地方。过滤输入被很多人看作是可选的一步,这一章做了大量讨论。
在阅读过程中,让我想起了多年前我的第一天工作,当时我深挖现存代码,找到了新用户创建脚本的代码:
1 2 3 |
if ( $_POST [ "isadmin" ] == 1) {
// code to set to admin in database
}
|
当看到这段代码时,我感到非常恐慌,因为它是一个非常有效的脚本,很容易被一个恶意用户搞定,猜出来并插入一个简单的表单变量,进而访问大约5,000个信用卡卡号和其他的个人信息。
深挖后我发现如下代码:
1 |
$sql = "INSERT INTO database (id,name,...) VALUES (" . $_POST [ "Name" ] . ");"
|
我在第一天差不多就走出了那份工作,因为他们正依靠这些可怕的代码。这些代码就在那儿,由你负责改变,一定要避免产生更多。
本章讨论了像这样的代码为什么是巨大的风险,以及如何修复。
这是另一个领域,Ben包含了脚本、故事和一点点幽默,同时也清晰地解释了不太清晰的HTTPS的概念。他解释的方式,甚至你的老板都能理解。
本书非常全面地描述了证书的工作原理、证书类型以及实现方法,甚至包括如何在Apache或Nginx上部署。
本书对于密码、哈希、表查询(lookup tables)和salts做了仔细的解释,这对开发人员创建用户登录系统有着令人难以置信的帮助。
这是一个甚至在2014年都极度缺乏的领域。我仍然能碰到过存储纯文本的密码或像ROT13加密【注1】来保护他们的愚蠢方法的应用程序。为了让人们使用你的应用程序,以及你的好名声,请不要这样做。
密码和其它敏感数据应该非常难以获取,甚至有人拿到数据库的所有权限。这本书很全面地包括了,会给你设计更好系统的不错指导。
本书包含的主题非常全面。当你构建新的PHP应用程序时,某些首要考虑是:
这是考虑应用程序、特别是处理敏感数据的应用程序的重要地方。企业里的相当一部分开发就是致力于此。如果你不正确地建立了身份验证和访问控制,最可能发生的就是你让用户感到困扰,并产生了更多的工作。比这更糟糕的是服务器数据缺口 以及/或者 数据毁坏。
本书很好地覆盖了基础知识,然后它深入到像控制访问文件或应用程序单个页面之类的工作,还有很多供参考的代码示例。
本书涵盖了一些普通的利用来破坏系统,非常详细地探索了跨站点脚本,它可以说是攻击者利用应用程序的最普通的方法。它解释了不同种类的攻击,以及如何保护自己。
不错吧?你能够通过这个链接打折购书!
在阅读本书过程中,我真正享受的是,信息是如何以对于初学者和有经验的程序员都有用的方式呈现的。有一系列概念被提出,它们是什么以及如何自我保护。有大量的代码示例,而不像一些技术书籍所具备的“填充码”。
你可以很快通读本书,因为没有太多内容。新手可以通读本书,检查每个主题,开始看看他们的代码,并作出修正。记住在这个事情上,你需要持续修改。如果你回头看看,一定会为六个月前写的代码感到羞愧,你在做正确的事情。
更高级的、有经验的程序员可以使用这个指南填补他们的弱点(不管你在这个行当多长时间了,你有弱点的,承认吧),更好地了解他们在工作中使用的系统。例如,这么多年我疯了似的使用身份验证,但是从来没有在本书提到的层面考虑过。
不管你是谁,你会学到东西的。因此不要看本文了,去买一份拷贝吧!使用这个链接购买是有折扣的!!
我没有在我的博客做过多评论,因此你可能有一些问题。为清楚起见,我没有为评论收取付费或赔偿。上面的优惠码给我博客的读者在原书价格基础上少4美元,我不会收到钱的。当然为了评论的目的,我收到过本书的促销拷贝。
我本人认识这个作者,那是我相信本书里的信息、完全信任其指导的原因之一。这几年Ben Edmunds在PHP社区有巨大的影响力,他有着10年的PHP经验,他是PHP用户组在波兰区域的领导者之一,这几年在PHP开源项目做出了巨大的贡献。可以这么说,他知道他的东西,你能够相信这里呈现的信息。
下载一个chm版的php手册.
书推荐看O'REILLY出版的 > 买最新版的就可以了.
入门后可以买本O'REILLY出版的>.看这两本书外足够了.
其他技巧性的东西是多看别人写代码.自己多动手练习.
记住:平时多做代码积累!!! php的重用性能很高,很多新东西可以用旧东西搭配出来.
当你消化掉以上两本书后,可以参考阅读一些设计模式的书籍.
框架不建议一开始就学习.在开发的过程自然会了解到框架,这时可以选择一两个框架深入了解,学习.
------------------
如果想用PHP做网页,请先学会HTML/XHTML
当然,如果会Javascript与CSS那就更好.
SQL是必修的.可以选择MySQL深入学习.
我准备买这本
你看看
PHP 5与MySQL 5 Web 开发技术详解(含光盘)
本书是目前中文版本第一个真正介绍PHP5及MySQL5新增语法与功能的权威宝典!
本书本着精、全、要三宗旨,从理论中延伸,从实践中深入,详实并完善描述了PHP5的开发特性与MySQL5数据库,如PHP数组与表单处理、PHP5面向对象开发、Ajax、CLI、字符流处理、加密技术、图片处理及PHP代码优化,以及存储过程,游标、事务等进阶内容。书中第二部分的开发实例是作者开发的原创作品,该部分内容不仅会令读者的开发水平有所增进,而且可在案例的基础上进行二次开发,做出符合自己业务的网站系统。
本书既可作为初学者或刚刚从其他语言转做PHP开发的程序员和软件工程师的学习参考书,也可作为掌握PHP5的进阶应用及高级知识的案上学习指南。
目录
第一篇 PHP5基础知识
第1章 PHP5概述
第2章 PHP5开发基础
第3章 正则表达式
第4章 PHP数组
第二篇 PHP5核心应用与规范
第5章 表单——处理用户输入
第6章 PHP加密技术
第7章 PHP国际化与本地化
第8章 PHP开发规范
第9章 PHP5面向对象开发
第10章 PHP会话管理
第11章 PHP输入输出缓冲
第12章 文件系统与字符流
第三篇 MySQL5与PHP5接口
第13章 Wed数据库设计
第14章 PHP与MySQL数据库接口
第15章 MySQL5数据库数据操纵
第16章 PHP与MySQL数据库接口
第17章 PHP数据库抽象
第四篇 PHP5进阶与技巧
第18章 Smrty与模板技术
第19章 PHP和Ajax技术
第20章 使用PHP编写Shell
第21章 PHP网络开发
第22章 PHP文件上传
第23章 图片与媒体处理
第24章 XML与RSS
第25章 Wed服务与SOAP
第26章 PHP与WAP技术
第五篇 PHP5调试、升级与优化
第27章 错误与异常处理
第28章 升级到PHP5
第29章 PHP优化技巧
第2部分 实战PHP5
第30章 实例开发:会员注册系统
第31章 实例开发:圈子系统开发
第32章 实例开发:爱问系统
第33章 实例开发:多用户博客系统
附录A PHP在线资源
附录B Zend Core安装
附录C PHP扩展开发
附录D MySQL字符集与整理
附录E 代码页与Charset对照表
附录F php.ini配置详解
附录G HTTP返回代码表(RFC2068)
官方书评:
作者功力深厚,写这本书也很专心细致,内容很多,写的非常详细。涉及到PHP开发方方面面的问题,既有总体把握,又有实现细节,有许多针对日常会遇到的问题、案例,提供可直接应用上的解决方案,又有深入的、循序渐进的描述。解析了PHP5以及MySQL5的技术细节,是一本初学者入门与熟练掌握php,中级php开发者进阶的一本好书籍。兼顾到了“工程师”和“程序员”两种读者。而且能在phpchina论坛热心地与大家交流,及时解答PHPer的问题,实为难得。当然,任何事情都不是十全十美,这本书同样也有一些不足的地方,就是书中一些细节的东西把握不够好,有不少的错漏,不过瑕不掩瑜。...余下全文>>