Bereits Anfang 2006 veröffentlichten Christopher Kunz und Peter Prochaska ein hervorragendes Buch zum Thema PHP-Sicherheit, von dem nun seit März eine zweite Auflage in aktualisierter Form erhältlich ist. Bei dieser neuen Fassung mitgewirkt hat außerdem Stefan Esser (Hardened PHP Projekt), der durch die Aufdeckung zahlreicher Sicherheitslücken einschlägig in der PHP-Szene bekannt ist.
Wie auch die erste Auflage gibt das neue Werk einen umfassenden Überblick über die wichtigsten Begriffe aus dem Sicherheitsbereich und vermittelt dem Leser im Laufe der Kapitel ein solides Grundverständnis von gängigen Fallstricken der sicheren PHP-5-Programmierung.
Die ersten acht Kapitel entsprechen im Wesentlichen der vorherigen Ausgabe und behandeln neben einer Einführung in die wichtigsten Sicherheitskonzepte Themen wie Informationsgewinnung, Parametermanipulation, Cross-Site-Scripting und Cross Site Request Forgeries, SQL-Injection, Authentisierung von Benutzern, Session-Sicherheit und Datei-Uploads. Selbstverständlich werden zu jedem dieser Gefahren auch effiziente Schutzmaßnahmen vorgestellt.
Das neunte Kapitel ist gänzlich neu hinzugekommen und gibt Aufschluss über die Vor- und Nachteile der Filter-Extension ext/filter, die seit PHP 5.2.0 fester Bestandteil des Quellarchivs von PHP ist. In Kapitel zehn geht es schließlich um die Konfiguration und Absicherung des PHP-Kerns selbst, womit auch die Kapitel elf und zwölf eingeleitet werden. Zunächst stellen die Autoren ihr persönliches Steckenpferd, den Hardening-Patch Suhosin, vor und anschließend werden serverseitige Filtermodule wie mod_security und mod_parmguard ausführlich diskutiert.
Im Anhang befinden sich zu guter Letzt noch Checklisten für sichere Einstellungen der php.ini und eine Kurzbeschreibung zu den wichtigsten Angriffsarten, die im Buch genannt wurden.
Dieses Buch zeichnet sich insbesondere durch seine gute Verständlichkeit aus und sollte zur Pflichtlektüre eines jeden ernsthaften Programmierers gehören. In der Praxis zeigt es sich leider immer wieder, dass ein Großteil der Webentwickler sich nicht einmal über ein Minimum der hier vermittelten Gefahren bewusst ist, was folglich immer wieder zu bösen Überraschungen führt. Wer diese Art von Überraschung lieber nicht erleben möchte sondern lieber im Voraus vorbeugen will, sollte sich dieses Buch kaufen. Warten Sie nicht, bis es zu spät ist!
Inhalte überspringen »
Buch-Tipp
-
|
bookmarken
- |
- |
- empfehlen
- |
- kommentieren
PHP-Sicherheit
(Link zum Artikel: http://www.entwickler.de/php/buchtipps/000642)
PHP/MySQL-Webanwendungen sicher programmieren
- Autor/in: Christopher Kunz, Stefan Esser, Peter Prochaska
- Verlag: dpunkt.verlag
- Seiten: 338
- erschienen: 2007
- Preis: 36 Euro
- ISBN: 978-3-89864-450-1
+ Neuen Kommentar verfassen
