PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen und abwehren kann, zeigt dieses Buch.
An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:
- SQL-Injection
- Cross-Site Scripting
- Angriffe gegen Sessions
- Angriffe auf Upload-Formulare
- Cross-Site Request Forgery
- HTTP Response Splitting
Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:
- Sichere Konfiguration von PHP
- Filterung mit mod_security
- Richtige Überprüfung von Variablen
- Blacklist-/Whitelist-Prüfungen
- Prepared Statements und Stored Procedures
- Captchas
Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen in PHP vermeiden sollten. Außerdem können sie anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im Anhang bietet eine Anleitung für Code Audits und für die Absicherung von Projekten.
Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von Eingabedaten vor.
Rezension:
Stimmen zur ersten Auflage:
"Aufgrund der enormen Fülle an Informationen über ein so essentielles Thema, ist das Buch daher eine lohnende Investition für jeden, der sich ernsthaft mit der Entwicklung von PHP-Anwendungen beschäftigt."
(www.phpforum.de, 02.03.2006)
"Nachvollziehbar, mit Codebeispielen versehen und bequem zu lesen: Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er PHP-Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen. ... macht dieses Buch selbst für Admins wertvoll, die selbst gar kein PHP programmieren. "
(Linux-Magazin 05/06)
"Ein "Must-have" für alle PHP-Programmierer, die sich und ihre Arbeit ernst nehmen."
(textico.de, 02.05.06)
"Dieses Buch zeichnet sich insbesondere durch eine gute Verständlichkeit aus und sollte zur Pflichtlektüre eines jeden ernsthaften Programmieres gehören."
(PHPmagazin 5.07 August/September)
An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:
- SQL-Injection
- Cross-Site Scripting
- Angriffe gegen Sessions
- Angriffe auf Upload-Formulare
- Cross-Site Request Forgery
- HTTP Response Splitting
Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:
- Sichere Konfiguration von PHP
- Filterung mit mod_security
- Richtige Überprüfung von Variablen
- Blacklist-/Whitelist-Prüfungen
- Prepared Statements und Stored Procedures
- Captchas
Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen in PHP vermeiden sollten. Außerdem können sie anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im Anhang bietet eine Anleitung für Code Audits und für die Absicherung von Projekten.
Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von Eingabedaten vor.
Rezension:
Stimmen zur ersten Auflage:
"Aufgrund der enormen Fülle an Informationen über ein so essentielles Thema, ist das Buch daher eine lohnende Investition für jeden, der sich ernsthaft mit der Entwicklung von PHP-Anwendungen beschäftigt."
(www.phpforum.de, 02.03.2006)
"Nachvollziehbar, mit Codebeispielen versehen und bequem zu lesen: Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er PHP-Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen. ... macht dieses Buch selbst für Admins wertvoll, die selbst gar kein PHP programmieren. "
(Linux-Magazin 05/06)
"Ein "Must-have" für alle PHP-Programmierer, die sich und ihre Arbeit ernst nehmen."
(textico.de, 02.05.06)
"Dieses Buch zeichnet sich insbesondere durch eine gute Verständlichkeit aus und sollte zur Pflichtlektüre eines jeden ernsthaften Programmieres gehören."
(PHPmagazin 5.07 August/September)