И като продължение на темата от предишната публикация - сигурността при разработване на уеб приложения - кратък преглед на печата.
За съжаление, но и без да буди кой знае какво учудване, на български език за PHP Security има издадена само една книга: Essential PHP Security, Chris Shiflett, 2006. Българското издание е на издателска къща ЗеСТ Прес от 2007, ISBN-13: 978-954-9341-20-1. Ако случайно все още не притежавате тези 120 страници в книжен формат, препоръчвам ви ги. Книгата, макар и хубава, е прекалено малка и надали ще задоволи очакванията ви.. по-скоро е като вкусен залъгващ залък преди основното ястие.
Мисля, че сте попадали на поне една от тези три книги. Ако ли пък не, ето сега имате тази възможност:
Pro PHP Security, Chris Snyder & Michael Southwell, 2005
ISBN (pbk): 1-59059-508-4
Тези над 500 страници четиво определено си заслужават. Ето го съдържанието в кратък вариант:
PART 1 - The Importance of Security
CHAPTER 1 Why Is Secure Programming a Concern?
PART 2 - Maintaining a Secure Environment
CHAPTER 2 Dealing with Shared Hosts
CHAPTER 3 Maintaining Separate Development and Production Environments
CHAPTER 4 Keeping Software Up to Date
CHAPTER 5 Using Encryption I: Theory
CHAPTER 6 Using Encryption II: Practice
CHAPTER 7 Securing Network Connections I: SSL
CHAPTER 8 Securing Network Connections II: SSH
CHAPTER 9 Controlling Access I: Authentication
CHAPTER 10 Controlling Access II: Permissions and Restrictions
PART 3 - Practicing Secure PHP Programming
CHAPTER 11 Validating User Input
CHAPTER 12 Preventing SQL Injection
CHAPTER 13 Preventing Cross-Site Scripting
CHAPTER 14 Preventing Remote Execution
CHAPTER 15 Enforcing Security for Temporary Files
CHAPTER 16 Preventing Session Hijacking
PART 4 - Practicing Secure Operations
CHAPTER 17 Allowing Only Human Users
CHAPTER 18 Verifying Your Users’ Identities
CHAPTER 19 Using Roles to Authorize Actions
CHAPTER 20 Adding Accountability to Track Your Users
CHAPTER 21 Preventing Data Loss
CHAPTER 22 Safely Executing System Commands
CHAPTER 23 Handling Remote Procedure Calls Safely
CHAPTER 24 Taking Advantage of Peer Review
Общо взето си има за всичко по-малко, обяснено с различни примери.
Една друга, заслущаваща внимание книга е Guide to PHP Security - A Step-by-step Guide to Writing Secure and Reliable PHP Applications, Ilia Alshanetsky, 2005
ISBN 0-9738621-0-6
И тази книга не е от вчера, което обаче не пречи написаното да е все още актуално. Покрива PHP5, както и предишната. И без това - както предполагам знаете - от 8 август е спряна поддръжката за PHP4, а и на хоризонта вече се задава PHP6. От съдържанието:
1 Input Validation
2 Cross-Site Scripting Prevention
3 SQL Injection
4 Preventing Code Injection
5 Command Injection
6 Session Security
7 Securing File Access
8 Security through Obscurity
9 Sandboxes and Tar Pits
10 Securing Your Applications
И още една благинка, която съм засякал: Hacker Web Exploitation Uncovered, Marsel Nizamutdinov, 2005
400 pages, ISBN:1931769494
Тази още не съм я прегледал, но като гледам съдържанието мисля, че и тя покрива основни теми като XSS, SQL Injection, Remote File Inclusion, etc.
И още нещо за десерт. Ако имате в приложението си формуляр за upload на файлове, прочетете този документ (.pdf, 20 стр.). Сигурен съм, че ще ви е полезен, както беше и за мен 
(Secure File Upload In PHP Web Applications)
Ами приятно четене и повечко спокойни нощи (след n на брой не толкова преди това).. Честно казано, колкото повече чета, толкова повече си мисля дали не е добре да се върнем 15 години назад към абсолютно статичен web модел
Tags: books, Cross-Site Scripting, file upload, PHP, PHP5, Remote Execution, review, Security, SQL Injection, XSS, книги, сигурност
1 коментар
RSS емисия за коментарите към тази публикация
Trackback линк
http://www.vlkomarov.info/blog/2008/08/17/php-security-books-review/trackback/
17.08.2008, 21:30
Pingback от Hamaelleon: Преглед на печата.. edno23.com