我目前正在构建一个网站,到目前为止,我在PHP上阅读的所有书籍都只是功能性而不是安全性。是否有专门处理您的代码/网站安全的书籍?我不想公开,第二天我的所有代码都被更改了,或者我的数据库被SQL注入删除了。
谢谢
答案 0 :(得分:5)
Open Web Application Security Project前10名是一个很好的起点。
并here's完善了安全编码实践。
答案 1 :(得分:2)
我发现Sitepoint也有优秀的文章。如果您想要一篇关于特定PHP主题的精彩文章,通常可以在那里找到一个。对于SQL注入,http://www.sitepoint.com/article/1272
怎么样答案 2 :(得分:0)
实际上,您可能不会通过sql注入删除数据库,因为这需要查询堆栈。 PHP的mysql_query()一次只接受1个查询。我怀疑你读过一些关于M $ -SQL的东西,这是一个非常不同的野兽。如果您尝试利用SQL注入漏洞,就会知道这一点。
完全理解secuirty是绝对不可能,直到您编写了漏洞利用程序。如果不试图利用它,就不可能测试任何补丁。除非你试图打破它,否则不可能证明任何东西都是安全的。认为你知道什么是安全的,比知道他们不知道的人更具破坏性。
黑客如何利用软件?黑客要做的第一件事是测试目标的漏洞。确保您运行Acunetix's free xss tester之类的测试工具或更好的完整测试,例如Wapiti。确保使用PHPSecInfo锁定您的php配置。粗略熟悉OWASP top 10。