Основи на PHP сигурността

Ръководство за изграждане на сигурни уеб приложения. В днешно време езикът за програмиране PHP е едно от най-разпространените средства за уеб разработка поради изключителната си гъвкавост при създаване на динамични, ориентирани към бази данни уеб приложения. освен това той работи чудесно и с други средства с отворен код като базата данни MySQL и уеб сървъра Apache.

Понеже все повече сайтове се разработват с помощта на PHP, те неизбежно се превръщат в мишени на злонамерени нарушители. Разработчиците трябва да бъдат подготвени - сигурността представлява важна тема, която заслужава внимание.

Изключително необходимата (и много желана) книга " Основи на PHP сигурността" обяснява най-често срещаните видове атаки и начините, по които трябва да пишете код, който да им противодейства. Чрез изследване на специфични атаки и техниките, използвани за предпазване от тях, ще разберете и оцените по-добре защитите, които са представени в тази книга.

Всяка глава от книгата обхваща определен аспект от уеб приложение (например обработка на формуляри, програмиране на база данни, управление на сесии и автентификация). Във всяка от тях са представени примери за потенциални атаки, а след това са обяснени техниките, които ще ви помогнат да се предпазите от тях.

Темите, които се разглеждат, включват:

• предотвратяване на уязвимостта от cross-site криптиране (XSS);
• защита срещу атаки на SQL инжектиране;
• усложняване на опити за открадване на сесия.

ЗеСТ Прес
София, 1408
жк Иван Вазов, ул. Димитър Манов 75
info@zest-pres.com

Предисловие
Предговор
Въведение

• Елементи на PHP
• Правила
• Установени практики

Формуляри и URL

• Формуляри и данни
• Семантични атаки на URL
• Атаки при качване на файлове
• Cross-site криптиране
• Cross-site фалшификати на заявки
• Лъжливи обработки на формуляри
• Лъжливи HTTP заявки

Бази данни и SQL

• Открита информация за достъп
• SQL инжектиране
• Разкрити данни

Сесии и бисквитки (Cookies)

• Кражба на бисквитка
• Открити данни от сесия
• Фиксиране на сесии
• Открадване на сесия

Допълнителни елементи на кода

• Публично излагане на сорс код
• Скрити URL адреси
• Манипулация на файлови имена
• Добавяне на код

Файлове и команди

• Задаване на път до файл
• Рискове, свързани с отдалечени файлове
• Добавяне на команди

Автентификация и упълномощаване

• Атака на грубата сила
• Проследяване на паролата
• Атаки на повторенията
• Постоянни регистрации

Споделен хостинг

• Публично разкриване на сорс код
• Разкриване на данни от сесия
• Добавяне на сесии
• Разглеждане на файловата система
• Защитен режим

Приложение А. Конфигурационни директиви
Приложение Б. Функции
Приложение В. Криптография
Индекс