Cách tốt nhất để tìm hiểu về các chủ đề liên quan đến bảo mật lập trình là gì? (PHP)

Question

Tôi hiện đang xây dựng một trang web và tất cả các cuốn sách tôi đã đọc trên PHP cho đến nay chỉ là về chức năng và không nhiều về bảo mật. Có một cuốn sách đề cập cụ thể đến việc làm cho mã/trang web của bạn an toàn không? Tôi không muốn công khai và ngày hôm sau tất cả các mã của tôi đã thay đổi hoặc cơ sở dữ liệu của tôi bị xóa bởi SQL injection.

nhờ

Answer 1

Dưới đây là một nơi tốt để bắt đầu: https://stackoverflow.com/questions/72394/what-should-a-developer-know-before-building-a-public-web-site

Tôi thấy rằng Sitepoint cũng có bài viết xuất sắc là tốt. Nếu bạn muốn có một bài viết tuyệt vời về một chủ đề PHP cụ thể, bạn thường có thể tìm thấy một bài viết ở đó. Đối với SQL injection, làm thế nào về http://www.sitepoint.com/article/1272

Answer 2

Open Web Application Security Project Top 10 là một nơi tốt để bắt đầu.

Và here's thực hiện tốt các phương pháp mã hóa an toàn.

Answer 3

Thực ra, có thể bạn sẽ không xóa cơ sở dữ liệu của mình bằng cách chèn sql vì yêu cầu xếp chồng truy vấn. PHP mysql_query() sẽ chỉ chấp nhận 1 truy vấn tại một thời điểm. Tôi nghi ngờ bạn đọc một cái gì đó về M $ -SQL mà là một con thú rất khác nhau. Bạn sẽ biết điều này nếu bạn đã cố gắng khai thác lỗ hổng tiêm sql.

Đó là hoàn toàn không thể để hiểu đầy đủ secuirty cho đến khi bạn đã viết một khai thác. Không thể kiểm tra bất kỳ bản vá nào mà không cố gắng khai thác nó. Không thể chứng minh rằng bất cứ điều gì là an toàn trừ khi bạn đã cố gắng để phá vỡ nó. Suy nghĩ rằng bạn biết điều gì là an toàn hơn nhiều so với những người biết họ không biết.

Vậy làm thế nào để tin tặc khai thác phần mềm? Điều đầu tiên mà một hacker sẽ làm là kiểm tra mục tiêu cho các lỗ hổng. Đảm bảo rằng bạn chạy công cụ kiểm tra như Acunetix's free xss tester hoặc tốt hơn là thử nghiệm đầy đủ như Wapiti. Đảm bảo cấu hình php của bạn bị khóa với PHPSecInfo. Và của thô làm quen với OWASP top 10.