¿Libro de PHP moderno, consciente de la seguridad?

Navega tus respuestas
8

Después de crear un sistema de inicio de sesión simple y tratar de protegerlo contra cosas como la inyección de SQL, el secuestro de sesión, XSS, etc., descubrí que realmente disfruto haciendo este tipo de cosas. Me gustaría recoger un libro y profundizar en todos los detalles relacionados con la seguridad de PHP / base de datos y las tácticas de prevención / detección de intrusos.

Básicamente, quiero aprender correctamente desde el principio. He encontrado Essential PHP Security, pero desde que se publicó en 2005, imagino que usarán mysql_ (en desuso) y posiblemente una estructura sin OOP. También he estado usando esta página para obtener ayuda junto con la documentación de PHP, pero esperaba ir más a fondo (especialmente en relación con la seguridad).

¿Alguien puede sugerir un libro que se actualice para usarlo hoy (entonces ...):

  • Contiene información sobre conexiones DOP
  • Usa declaraciones preparadas para escapar de las variables
  • Utiliza un enfoque orientado a objetos para la estructura
  • Implica plantillas HTML para la separación de idiomas
  • Prevención de XSS, secuestro de sesión, intrusiones de bytes nulos, robo de cookies, etc.

Si no hay un libro que realmente aborde estas cosas (todavía), ¿pueden aplicarse los conceptos de Essential PHP Security (u otro libro recomendado) para la mayoría de los usos actuales?

Gracias por la entrada! Solo intento aprender correctamente y evitar malos hábitos.

EDITAR: publiqué esto en otro lugar al principio y muchos de los comentarios que recibí estaban en la línea de "No usaría PHP" o "Usar jQuery". ¿Por qué la seguridad de PHP no es una buena área de enfoque?

    
pregunta Phas1c 17.07.2013 - 17:41
fuente

2 respuestas

4

No soy un desarrollador de PHP, por lo que no tengo ninguna recomendación específica, pero desde mi experiencia puedo dar algunas pautas generales que pueden ser útiles.

Primero, compre el libro de seguridad PHP más nuevo que pueda encontrar. Tal como se establece en PHP, y tan suave como el mercado de libros técnicos en la última década, no hay muchas opciones, pero hay algunas por ahí. " Proteger las aplicaciones web de PHP " desde 2008 es lo más nuevo que he podido encontrar. Los libros más nuevos no solo tendrán información más actualizada sobre PHP, sino también más información sobre los ataques y amenazas actuales.

Segundo, para una educación de desarrollo de PHP más general, busque un libro con algo como "Avanzado" o "Técnico" en el título, como " Programación avanzada PHP y orientada a objetos " (No tengo idea si ese libro específico es bueno.) Los libros para principiantes (en cualquier idioma o tecnología) son conocidos por incluir accesos directos desastrosos en aras de la simplicidad y, rara vez, si alguna vez se preocupa por las mejores prácticas ... Están diseñados para mostrarle cómo hacer que algo funcione con la menor cantidad de código posible, y casi siempre es un código terrible. Los libros avanzados tienen el lujo de poder dirigirse a lectores con conocimientos previos donde las mejores prácticas son más importantes que la simplicidad absoluta, y es mucho más probable que encuentre un libro que incorpore buenas prácticas de seguridad.

Tercero, (y esto puede ser obvio) no confíe solo en un libro para su información de seguridad. Los recursos de Internet como el sitio web OWASP siempre estarán mucho más actualizados y brindarán una mayor cantidad de detalles sobre las prácticas y amenazas de seguridad actuales.

    
respondido por el Xander 17.07.2013 - 18:08
fuente
2

No es un libro, es un sitio, pero he estado creando algunos tutoriales y artículos relacionados con PHP en mi sitio Websec.io ( enlace ). Definitivamente son más recientes que el libro de Chris ... échale un vistazo.

EDITAR: Desde esta publicación, también he lanzado un conjunto de libros electrónicos específicamente para proteger aplicaciones PHP: securingphp.com .

    
respondido por el enygma 18.07.2013 - 16:07
fuente

Lea otras preguntas en las etiquetas

Mensajes de correo electrónico falsos a través del encabezado List-Unsubscribe ¿Cómo protege YubiKey su clave secreta?