我已经开始阅读一本关于PHP安全性的书了(但实际上所有的理论都不太实用)并且在我的计划中有阅读Chris Shiflett和Schenider的博客,但有没有人知道我可以参加的正式课程甚至获得证明我知道如何编写安全PHP代码的证书?
编辑:我收到了很多答案,其中一些答案没有回答我的问题。所以我引用了ircmaxell的评论,因为它真的很明显。
虽然我不同意证书 问题(和那个发现 漏洞是最好的方法 学习),我不确定答案 题。一个人应该如何不去 知道关于安全的任何事情 他们可以做审计的地方 能够找到漏洞
我想补充的是,虽然我同意经验对认证更重要,但认证并不重要。这是一个快速的证据,我知道的不仅仅是来自印度的高中爱好者程序员,他们要为整个项目收取30美元。
答案 0 :(得分:7)
http://www.zend.com/services/certification/是个好人。
在参加考试之前,您可能需要查看:
答案 1 :(得分:2)
编写安全代码不仅仅是PHP:良好的代码,正确的代码与语言无关。虽然每种语言都有细微差别,但无论你写什么内容,都有一套基本的学习原则可供学习。最好学习这些核心价值观,然后了解语言的具体内容。密码学的基础知识,良好的数据库设计,适当的内存管理和操作系统原理将使您更安全地了解安全性,而不仅仅是通过PHP安全性认证。
当谈到这一点时,编写安全代码应该是任何程序员技能的一部分。
答案 2 :(得分:1)
答案 3 :(得分:1)
我强烈推荐Chris Shiflett的书。我认为应该要求所有Web开发人员阅读,而不仅仅是PHP开发人员,因为所概述的原则,攻击和防御适用于所有Web语言。这也是一个快速阅读,但会给你一个坚实的网络应用程序安全IMHO基础,否定课程的必要性。 Zend认证工程师学习指南中关于安全性的章节也很好,但与Shiflett的书一样。
答案 4 :(得分:1)
有OWASP Certification Project,但我可以告诉它不再活跃(虽然链接的某些内容似乎仍然有效)。
虽然不是PHP特定的,但也有GIAC Certification。它针对的是一般安全性而不是语言特定技术(无论如何我都可以收集)......
还有Software Security Institute ...我没有他们的背景,所以我不能保证,但它似乎有你正在看的东西。
编辑:经过反思:
老实说,我没有看到证书中的重点。如果你想参加培训,太棒了!但证书所做的一切都证明你能够通过考试。它没有说明你所知道的或你的能力......获得真实世界的经验,这比任何一天的任何证书都更有价值。参与开源项目(特别是从安全方面来看,根据我的经验,很多需要帮助)。参与OWASP。获得一些真实世界的经验,参加会议和用户组继续学习。它的价值是证书的10倍......
答案 5 :(得分:1)
获取PHP项目的CVE编号。如果你在PHP代码中找不到漏洞就是最重要的,获得认证并不意味着该死的东西。
为了理解代码如何不安全,我建议安装Damn Vulnerable WebApp。您还应该查看真实世界中的漏洞,例如The Whitebox上发现的漏洞。 PHP / MySQL项目所在的博客和商店,因为它们太不安全而放弃了。挑战是在野外发现的困难安全系统,但它们也非常不安全。对于一些令人反感的PHP安全性阅读,我建议A Study In Scarlet。