新书推荐 | 《PHP Web安全开发实战》

上周给大家推荐的《Windows 黑客编程技术详解》一书一经发布就获得大家的广泛支持，微博上的抽奖更是火热，今天6点中奖的10位幸运伙伴又是谁呢？

没中奖没关系，考虑到大家年末学习这么积极！安全客又来送福利啦，今天给大家介绍的是由清华大学出版社出版的《PHP Web安全开发实战》，本书的作者是来自中科院计算所培训中心《Web安全开发》课程的讲师汤青松，接下来就跟随作者一起来具体了解本次新书的内容吧！

 

内容简介

本书结合在安全方面的开发经验，站在开发者的角度，循序渐进地介绍了大量实际发生的漏洞案例，并给出了技术解决方案，包括：常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。通过阅读本书，读者能够对整个网络安全有一个全新的认识和深入的理解，从而成为一位懂安全、会防护的工程师，避免在工作中成为黑客攻击的对象。

本书适合PHP开发人员、网络维护人员以及对网络安全攻防技术感兴趣的读者阅读。

 

作者简介

汤青松

安全开发工程师，主要研究Web安全方向;曾在2017看雪安全开发者峰会分享《Web安全编码》话题,在2017 PHP开发者大会分享《Web安全:从白帽角度做安全》，中科院计算所培训中心《Web安全开发》课程讲师。

 

推荐序1

随着互联网的快速发展以及大量中小型互联网公司的出现，网络用户数也在不断增长，用户安全意识不断提升，人们越来越注重个人隐私及数据安全的防护，出现用户密码泄露、隐私外泄、财产损失等都是不能忍受的。

目前大多数中小型公司都在用PHP开发Web端，但这些公司往往缺乏安全相关的技术团队来为网络安全方面提供技术保障。尤其在开发过程中，工程师忽略安全方面的考虑，导致线上网站服务器出现各种安全漏洞，留下安全隐患，对用户和公司都会造成不同程度的损失。

加上近些年各大互联网公司陆续曝出被攻击的安全问题，大量账户和密码泄露。例如有些用户在很多网站都使用同一账户和密码，使得黑客更容易破解他在其他网站的账户信息。类似问题让企业在安全性方面面临严峻挑战，可以说一个网站没有安全，就像没有穿衣服一样，它是裸露透明的，一丝不挂，毫无隐私和保障可言。

纵观市场，很少有类似结合实际案例著作的Web安全方面的图书，本书正是基于此，总结作者在安全方面的经验，循序渐进地讲述大量实际发生的案例以及处理方案，来应对各种新奇的攻击技术。从常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密及认证、SQL注入以及服务器配置防护等方面提供了比较成熟的技术解决方案。

通过阅读本书能够帮助读者对整个网络安全有一个全新的认识和质的提升，从而成为一位懂安全、会防护的工程师，避免在工作中成为黑客的攻击对象。

总之，这是开发工程师在安全方面不可多得的一本网络安全图书，值得一读。

 

爱卡汽车高级工程师 张锋

推荐序2

 

安全是一个系统工程，涉及项目管理、架构设计、代码编写等方面。一位合格的开发人员除了要有安全意识外，还要掌握一些安全编程的知识点。这本书为开发人员介绍了一些Web安全的基础知识，分别以原理、实践两个方面进行了阐述，Web安全入门简单，重要的是实践和积累。

 

 

看雪学院（kanxue.com）创始人  段钢

前言

在准备写这本书的时候参考了很多Web安全方面的资料和书籍，我发现很多书籍和资料都是从攻击者的角度来讲述Web安全的。为了防止本书和其他的书籍以及相关资料同质化，在规划本书的时候，特意从PHP开发者的角度出发，目的是让开发者提升安全开发的能力，书中会讲到目前Web安全中的常见漏洞、相关的漏洞案例、最佳的安全防范方法，以及我自己的观点，希望能帮到需要提升安全知识的PHP从业者。

 

本书内容

第1章  信息泄露

此书面向安全意识薄弱的开发者，因此在第1章中带领读者入门，主要介绍攻击者在攻击服务器时在前期如何探查服务器信息，攻击者有哪些手段来挖掘漏洞，让读者能够快速了解漏洞是如何被发现的。

第2章  常规漏洞

讲解开发者在编码过程中，因缺乏安全意识或遗漏而导致的安全问题；同时通过生动的案例分析来说明攻击者是如何发现此类安全问题的；最后在章节末尾会提到开发者如何规避这些编码导致的安全问题。

第3章  业务逻辑安全

在设计一些业务的时候，不仅编码会产生安全漏洞，业务同样会产生大问题，比如常见的越权漏洞、支付漏洞、验证码问题，这些问题其实在设计功能之初就应该考虑到项目计划中去。

第4章  LANMP安全配置

对于PHP开发者来说，一定离不开Nginx、Apache、MySQL、PHP、Redis等配置，不过这些配置并不会经常用到，通常是配置一次，后面就不用再理会。这也导致了开发者因为对配置的陌生而出现不少安全问题，本章会总结出因为配置不当而带来的安全问题，同时也会给出正确的安全配置建议。

第5章  认证与加密

在进行业务开发的过程中，我们很频繁地使用加密与解密，但对其底层原理却了解得甚少，甚至部分开发者无法分清认证与加密的区别，本章主要介绍加密和认证的相关技术，以帮助开发人员了解其技术特点，从而开发出安全的应用。

第6章  其他Web安全主题

攻击者的攻击方式是多样的，我们在防范安全问题的同时，一定要有重点目标，所以本章会提到漏洞的危险等级划分、CMS引起的漏洞如何防御、对自身的业务如何安全测试、在测试的同时如何提升效率，本章还会介绍两款经典的安全检测工具：     Burp Suite和SQLMap，让读者能够对自己开发的产品进行安全检测。

 

本书读者对象

这本书面向懂PHP开发但不擅长安全方面的开发者，可以通过此书让你在Web安全方面快速成长，在书中列出了很多互联网的漏洞案例，目的是让读者看了之后更加了解攻击者是如何发现漏洞的，从而让开发者在开发时能够对症下药。

由于编者水平有限，虽已尽力，但书中肯定还会存在许多不妥甚至谬误，敬请广大读者和专家不吝指教，非常感谢。

联系邮箱地址：booksaga@126.com。

 

购买链接

天猫：

https://detail.tmall.com/item.htm?spm=a230r.1.14.8.4987393cZEZuJW&id=579411539625&ad_id=&am_id=&cm_id=140105335569ed55e27b&pm_id=&abbucket=18

京东：http://item.jd.com/12460582.html

当当：http://product.dangdang.com/25535014.html

 

文末福利

这次本书的出版社清华大学出版社免费为大家提供了10本《PHP Web安全开发实战》！老规矩！

关注安全客官方微博，转发点赞并留言，我们会随机抽取10名用户，免费赠送一本《PHP Web安全开发实战》 ！

活动链接：https://weibo.com/3957583411/H7FAocc4r?from=page_1006063957583411_profile&wvr=6&mod=weibotime&type=comment#_rnd1545042026288

注意：本次活动是在安全客微博进行哦！关注转发点赞留言一个都不能少哦~赶紧去微博看看吧~

开奖时间：2018年12月21日18:00