Kennt jemand ein gutes Buch bezüglich Sicheres Programmieren von PHP und SQL (Oder allgemein Sicherheit für Webapplikationen)?

4 Antworten

Guck dir anstatt eines Buches mal die Infos von OWASP an:

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Darüber hinaus solltest du auch noch alle anderen Seiten von OWASP lesen. Wenn du das getan hast, verfügst du über einen größeren Überblick i Bereich Security, als die meisten anderen PHP Programmierer und bist in der Lage, dir selbst entsprechende Bücher raus zu suchen.

Dich sollte übrigens nicht nur PHP interessieren, sondern auch alles, was damit zusammen hängt: Unit-Tests, Pen-Testing, Reversing, OS-Hardening, Metasploit, Intrusion Protection / Prevention / Detection, Forensik von Server und Logs, Proxies mit DPI gegen DDoS und andere Angriffe, und und und ...

Das eigentliche "Sicher-machen von PHP" ist nur ein Bruchteil von dem, was nötig ist, um einen Server abzusichern. Bei den Standardprozeduren wie Prepared Statements, validierung von eventuellen XSS-Parametern, Blocken von gewissen IP-Ranges, verhindern von Race-Conditions bei Dateizugriffen, dem Einsatz von Honey-Pots, Standard-Bot-Erkennung, usw., gehe ich jetzt mal davon aus, dass du dich sowieso schon damit beschäftigt hast.

Auf jeden Fall ist das ganze Thema so dermaßen komplex, dass die eigentliche PHP-Programmierung vielleicht nur 5% der Gesamtarbeit ausmacht.

Viel Erfolg! :)

Jedes neuere Buch sollte die Sicherheitsstandards behandeln. Gruß :)

Naja, mir ist leider kein PHP-Buch bekannt (auch nicht die ganz Dicken), die das Thema "Sicherheit" in ausreichender Form behandeln. Kann ja auch gar nicht, da das Thema so umfangreich ist, dass es alleine schon ganze Bände füllt.

Man kommt wohl um zusätzliche Literatur nicht drum rum.

Meistens kratzen Sicherheitstipps in Anfängerbüchern nur an der Oberfläche, und warnen allenfalls vor so etwas:

$q = 'select * from t where x=' . $_POST['y'];

Leider ist das nicht mal ansatzweise genug, und gerade als Anfänger sollte man sich nicht in falscher Sicherheit wiegen, wenn man folgendes macht:

echo htmlspecialchars($_POST['x']);

So etwas sah man früher auch häufig bei Großprojekten wie Joomla, Typo3, und Co. :)

0

SQL GUI selbst schreiben?

Nabend Community,

Ich habe mich heute bei unserem W-Seminar dafür gemeldet, ein GUI für den Zugriff auf eine Datenbank zu schreiben. Eigentlich hatte ich vor mit php und HTML ein Web-Interface zu erstellen. So weit so gut, allerdings interessiert mich nun doch, welche anderen Möglichkeiten es dies betreffend noch gibt. Prinzipiell geht es darum ein GUI zu "programmieren", das es Schülern aus unserem Seminar, sowie denjenigen, welche die Datenbank in Zukunft nutzen werden, ermöglicht sowohl neue Datensätze in die SQL einzufügen (sofern entsprechende Rechte vorhanden), als auch Daten auszulesen. Mir würden da nur noch die Frames von Java einfallen, da ich mich allerdings mit Java noch nicht wirklich beschäftigt habe, weis ich nicht, ob es möglich ist, über Java Frames Daten in einer SQL zu ändern. Mit den SQL cmds, HTML und php kenne ich mich weitestgehend aus, bei anderen Programmier/Scriptsprachen siehts allerdings ziemlich mau aus :D, deshalb bin ich für jeden Vorschlag dankbar, ausserdem hab ich kein Problem damit, mich mit neuer Materie (z.B neuen Psprachen oder Protokollen) auseinander zusetzen.

Danke

Gruß Rtex

...zur Frage

gibt es einen php-basierten csv-editor?

hallo!

kennt jemand einen komfortablen editor für csv-tabellen? es sollte ein kostenloses php-script sein.

da csv im grunde blanker text ist, sollte es solche lösungen doch sicher schon längst geben, sodass ich es nicht selber zu programmieren brauche. leider finde ich aber trotzdem nix.

lieben dank!

...zur Frage

Wie verschlüsseltes MySQL Passwort entschlüsseln?

guten morgen.

ich habe mir ein script gekauft und benötige hilfe wegen dem passwort.

das passwort ist verschlüsselt und ist in der my sql datenbank mit 074c03135c89084cf7214a90ed0d08d4 hinterlegt.

nun habe ich leider nicht das passwort vom verkäufer mitgeteilt bekommen und erhalte auf meine nachfrage keine antwort.

ein einloggen istm ir somit leider nicht möglich.

kann mir einer von euch weiterhelfen und sagen wie ich das passwort entschlüsseln kann?

vielen dank für eure hilfe.

...zur Frage

Habt ihr ne coole Idee für ne Website?

Also wenn ihr ne gute Idee habt, was ich programmieren kann, also als Website (Bitte kein Blog, Forum... Hab ich schon so oft für kleine Server und Personen gemacht...) bitte einfach rein... Ich beherrsche PhP, JavaScript, Sql(,Html, Css) sehr gut und zum großen teil auch Java...

Und bitte keine Antworten wie: "Wenn ich eine Idee hätte würde ich sie hier nicht reinschreiben..." usw.. Ich will einfach nur Spaß beim programmieren haben und kein Geld verdienen.

LG Jonas

...zur Frage

Kennt ihr ein gutes einfaches Website Q&A Script?

Hallo Zusammen,

Ich würde gerne so ein Q&A wie Ask.fm oder Tellonym auf meiner Webseite einbauen, wo die Leute mich etwas fragen können und ich darauf antworten kann. Kennt ihr da vielleicht etwas passendes?

Lg
Biolaxy

...zur Frage

Wer kennt ein gutes Buch für Python Programmierung?

Hallo, ich suche ein Einsteigerfreundliches Buch zum Programmieren in Python.

...zur Frage

Was möchtest Du wissen?