Kennt jemand ein gutes Buch bezüglich Sicheres Programmieren von PHP und SQL (Oder allgemein Sicherheit für Webapplikationen)?

3 Antworten

Guck dir anstatt eines Buches mal die Infos von OWASP an:

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Darüber hinaus solltest du auch noch alle anderen Seiten von OWASP lesen. Wenn du das getan hast, verfügst du über einen größeren Überblick i Bereich Security, als die meisten anderen PHP Programmierer und bist in der Lage, dir selbst entsprechende Bücher raus zu suchen.

Dich sollte übrigens nicht nur PHP interessieren, sondern auch alles, was damit zusammen hängt: Unit-Tests, Pen-Testing, Reversing, OS-Hardening, Metasploit, Intrusion Protection / Prevention / Detection, Forensik von Server und Logs, Proxies mit DPI gegen DDoS und andere Angriffe, und und und ...

Das eigentliche "Sicher-machen von PHP" ist nur ein Bruchteil von dem, was nötig ist, um einen Server abzusichern. Bei den Standardprozeduren wie Prepared Statements, validierung von eventuellen XSS-Parametern, Blocken von gewissen IP-Ranges, verhindern von Race-Conditions bei Dateizugriffen, dem Einsatz von Honey-Pots, Standard-Bot-Erkennung, usw., gehe ich jetzt mal davon aus, dass du dich sowieso schon damit beschäftigt hast.

Auf jeden Fall ist das ganze Thema so dermaßen komplex, dass die eigentliche PHP-Programmierung vielleicht nur 5% der Gesamtarbeit ausmacht.

Viel Erfolg! :)

Jedes neuere Buch sollte die Sicherheitsstandards behandeln. Gruß :)

Naja, mir ist leider kein PHP-Buch bekannt (auch nicht die ganz Dicken), die das Thema "Sicherheit" in ausreichender Form behandeln. Kann ja auch gar nicht, da das Thema so umfangreich ist, dass es alleine schon ganze Bände füllt.

Man kommt wohl um zusätzliche Literatur nicht drum rum.

Meistens kratzen Sicherheitstipps in Anfängerbüchern nur an der Oberfläche, und warnen allenfalls vor so etwas:

$q = 'select * from t where x=' . $_POST['y'];

Leider ist das nicht mal ansatzweise genug, und gerade als Anfänger sollte man sich nicht in falscher Sicherheit wiegen, wenn man folgendes macht:

echo htmlspecialchars($_POST['x']);

So etwas sah man früher auch häufig bei Großprojekten wie Joomla, Typo3, und Co. :)

0

Was möchtest Du wissen?