每個PHP開發者都該看的書

　　PHP這幾年口碑很差。關於它的「糟糕設計的總結」和語法上的矛盾有著大量的討論，但是主要的抱怨通常是安全。很多PHP站點分分鐘被黑掉，甚至一些有經驗的、有見識的程式設計師會說，這門語言本身是不安全的。

　　我總是對此持反對意見，因為有常識性的原因，有這麼多的PHP安全違反現象。

　　PHP應用程式經常被駭掉是由於：

• PHP應用程式太多了。
• 它易於學習和編寫。
• 糟糕的PHP也容易寫。

　　　就是這麼簡單。 PHP流行好多年了。 PHP越受歡迎，它被發現的漏洞就越多。這些駭客發現的漏洞很少是PHP處理引擎本身的，通常是腳本本身的弱點。

　　這意味著，當一個PHP應用程式被駭掉的時候，大多數是程式設計師的錯誤。對不起，但這是事實。

　　你可以和其它web語言一樣寫出安全的PHP。是時候開始真正探索安全問題了。

　　防止PHP hack的最佳防護

　　寫安全的PHP程式碼不是一個對PHP開發者隱藏的、秘密的黑色藝術。但是信心太零散了，你需要花費數週或數月（或不再這麼長時間）去收集某些散篇目錄或法則的、好的安全實踐。甚至只有真的經驗才會告訴你它有多重要。

　　幸虧Ben Edmunds已經為你做好了。它最近出版了《Building Secure PHP Apps – a Practical Guide》，它是我讀過的最好的安全相關的書籍之一，當然也是最好地涵蓋了PHP。本文我將詳述為什麼我認為每個PHP開發者都應該閱讀。

　　本書是個簡潔指導，把你帶到做為一名開發者的下一個等級，讓你打造更好、更安全的腳本。

　　簡介

　　本書很快就進入了web開發的常識規則：不要相信你的用戶，過濾所有輸入。從一個小情境開始，跳到了使用者能夠進入系統的技術方法。第一章的主題有：

• SQL注入
• 大量賦值欄位
• 型轉換
• 過濾輸入/輸出

　　這些都是PHP新手（和一些老手）一直容易忽略的地方。過濾輸入被很多人看作是可選的一步，這一章做了大量討論。

　　在閱讀過程中，讓我想起了多年前我的第一天工作，當時我深挖現存程式碼，找到了新使用者建立腳本的程式碼：

?

1 2 3

if ($_POST["isadmin"] == 1) { // code to set to admin in database }

　　當看到這段程式碼時，我感到非常恐慌，因為它是一個非常有效的腳本，很容易被一個惡意用戶搞定，猜出來並插入一個簡單的表單變量，進而訪問大約5,000個信用卡卡號和其他的個人資訊。

　　深挖後我發現如下碼：

?

1

$sql = "INSERT INTO database (id,name,...) VALUES (" . $_POST 　　我在第一天差不多就走出了那份工作，因為他們正依靠這些可怕的程式碼。這些程式碼就在那兒，由你負責改變，一定要避免產生更多。 　　本章討論了像這樣的程式碼為什麼是巨大的風險，以及如何修復。 　　HTTPS和證書 　　這是另一個領域，Ben包含了腳本、故事和一點點幽默，同時也清楚地解釋了不太清晰的HTTPS的概念。他解釋的方式，甚至連你的老闆都能理解。 　　本書非常全面地描述了憑證的工作原理、憑證類型以及實作方法，甚至包括如何在Apache或Nginx上部署。 　　密碼 　　本書對於密碼、雜湊、表格查詢（lookup tables）和salts做了仔細的解釋，這對開發人員建立使用者登入系統有著令人難以置信的幫助。 　　這是一個甚至在2014年都極度缺乏的領域。我仍然可以碰到儲存純文字的密碼或像ROT13加密【註1】來保護他們的愚蠢方法的應用程式。為了讓人們使用你的應用程序，以及你的好名聲，請不要這樣做。 　　密碼和其它敏感資料應該非常難以獲取，甚至有人拿到資料庫的所有權限。這本書很全面地包含了，會為你設計更好系統的好指導。 　　身份驗證與存取控制 　　本書包含的主題非常全面。當你建立新的PHP應用程式時，某些首要考慮是： 誰能夠存取哪些資源？ 誰能夠控制其他使用者存取？ 　　這是考慮應用程式、特別是處理敏感資料的應用程式的重要地方。企業裡相當一部分的開發就是致力於此。如果你不正確地建立了身份驗證和存取控制，最可能發生的就是你讓使用者感到困擾，並產生了更多的工作。比這更糟糕的是伺服器資料缺口 以及/或 資料毀壞。 　　本書很好地涵蓋了基礎知識，然後它深入到像控制存取檔案或應用程式單一頁面之類的工作，還有很多供參考的程式碼範例。 　　特定利用 　　本書涵蓋了一些普通的利用來破壞系統，非常詳細地探索了跨站點腳本，它可以說是攻擊者利用應用程式的最普通的方法。它解釋了不同種類的攻擊，以及如何保護自己。 　　不錯吧？你能夠透過這個連結打折購書！ 　　我最喜歡這本書的地方 　　在閱讀本書過程中，我真正享受的是，資訊是如何以對於初學者和有經驗的程式設計師都有用的方式呈現的。有一系列概念被提出，它們是什麼以及如何自我保護。有大量的程式碼範例，而不像一些技術書籍所具備的「填充碼」。 　　你可以很快通讀本書，因為沒有太多內容。新手可以通讀本書，檢查每個主題，開始看看他們的程式碼，並作出修正。記住在這個事情上，你需要持續修改。如果你回頭看看，一定會為六個月前寫的程式碼感到羞愧，你在做正確的事。 　　更高級的、有經驗的程式設計師可以使用這個指南填補他們的弱點（不管你在這個行當多長時間了，你有弱點的，承認吧），更好地了解他們在工作中使用的系統。例如，這麼多年我瘋了似的使用身份驗證，但是從來沒有在本書提到的層面考慮過。 　　不管你是誰，你會學到東西的。因此不要看本文了，去買一份拷貝吧！使用這個連結購買是有折扣的！ ！ 　　免責聲明 　　我沒有在我的部落格做過多評論，因此你可能有一些問題。為清楚起見，我沒有為評論收取付費或賠償。上面的優惠碼給我部落格的讀者在原書價格基礎上少4美元，我不會收到錢的。當然為了評論的目的，我收到過本書的促銷拷貝。 　　我自己認識這個作者，那是我相信本書裡的信息、完全信任其指導的原因之一。這幾年Ben Edmunds在PHP社群中有著巨大的影響力，他有著10年的PHP經驗，他是PHP用戶群在波蘭區域的領導者之一，這幾年在PHP開源計畫做出了巨大的貢獻。可以這麼說，他知道他的東西，你能夠相信這裡呈現的訊息。 原網址：http://www.jeremymorgan.com/blog/programming/the-book-every-php-dev-should-read/ 註1：ROT13（迴轉13位，rotate by 13 places，有時中間加了個連字符稱作ROT-13）是一種簡易的替換式密碼。 http://zh.wikipedia.org/wiki/ROT13 以上就介紹了每個PHP開發者都該看的書，包括了方面的內容，希望對PHP教程有興趣的朋友有所幫助。