推荐一本PHP程应该读的书

PHP这几年口碑不佳。关于它的“糟糕的设计总结”和语法矛盾有很多讨论，但主要的抱怨通常是安全。很多PHP网站每分钟都被黑，甚至一些有经验有见识的程序员也会说语言本身不安全。

我一直不同意这一点，因为基于常识的原因，PHP安全违规的情况实在太多了。

PHP应用程序经常被黑客攻击，因为：

PHP应用太多了。学习和写作都很容易。糟糕的PHP很容易写。

就这么简单。PHP已经流行了很多年。PHP越流行，就会发现越多的漏洞。黑客发现的这些漏洞很少是PHP处理引擎本身，通常是脚本本身的弱点。

这意味着当一个PHP应用被黑客攻击时，大部分是程序员的错。对不起，但这是真的。

你可以像其他网络语言一样编写安全的PHP。是时候真正探索安全问题了。

针对PHP黑客的最佳防护。

编写安全的PHP代码并不是隐藏在PHP开发人员面前的秘密黑艺术。但是信心太分散了，你需要几周或几个月(或者不再那么长)来收集一些分散的目录或规则以及良好的安全实践。只有真实的经历才会告诉你它有多重要。

幸运的是，本埃德蒙兹为你做了这件事。最近出版了《Building Secure PHP Apps a Practical Guide》，这是我看过的最好的安全相关书籍之一，当然也是对PHP覆盖最好的。我将详细说明为什么我认为每个PHP开发人员都应该阅读它。

这本书是一个简明的指南，它把你作为一个开发人员带到了下一个层次，并允许你创建更好和更安全的脚本。

这本书很快进入了网页开发的常识规则：不要相信你的用户，过滤所有的输入。从一个小场景开始，我跳到了用户可以进入系统的技术方法。第一章的主题是：

SQL注入了大量的赋值字段、类型转换、过滤输入输出，这些总是被PHP新手(以及一些老手)忽略。过滤被很多人视为可选步骤，这一章做了很多讨论。

在阅读的过程中，它让我想起了多年前的第一天工作，当时我深入挖掘了现有的代码，发现了新用户创建脚本的代码：

复制代码如下： if($ _ post[' isadmin ']==1){//数据库中设置为admin的代码}。

当我看到这段代码时，我非常害怕，因为这是一个非常有效的脚本，很容易被恶意用户处理，猜测并插入一个简单的表单变量，然后访问大约5000个信用卡号和其他个人信息。

深入挖掘后，我发现了以下代码：

复制代码如下： $ SQL='插入数据库(id，名称，)值('。$ _ post ['name']。');'

第一天我差点被解雇，因为他们依赖这些可怕的代码。这些代码就在那里，你有责任修改它们。一定要避免产生更多。

本章讨论为什么像这样的代码是一个巨大的风险，以及如何修复它。

还有HTTPS证书。

这是另一个领域。本包含剧本、故事和一点幽默，同时，他清楚地解释了不清楚的HTTPS概念。他解释的方式，连你老板都能理解。

这本书对证书的工作原理、类型和实现方法，甚至如何在Apache或Nginx上部署进行了非常全面的描述。

密码

这本书对密码、散列、查找表和盐进行了仔细的解释，这对开发人员创建用户登录系统非常有帮助。

即使在2014年，这也是一个极其稀缺的领域。我仍然可以遇到像ROT13这样以纯文本或加密方式存储密码的应用程序，以保护它们愚蠢的方法。请不要为了人们使用你的应用程序和你的良好声誉而这样做。

密码等敏感数据应该很难获取，甚至有人获得了数据库的所有权限。这本书很全面，将为你设计更好的系统提供很好的指导。

身份验证和访问控制这本书包含全面的主题。当您构建一个新的PHP应用程序时，首先要考虑的是：

谁可以访问哪些资源？谁能控制其他用户的访问？

这是考虑应用程序的重要地方，尤其是那些处理敏感数据的应用程序。企业发展的很大一部分致力于此。如果您设置的身份验证和访问控制不正确，很可能会惹恼用户并造成更多工作。比这更糟糕的是服务器数据缺口和/或数据损坏。

这本书很好地涵盖了基础知识，然后深入到控制对文件或应用程序单个页面的访问等工作中，有很多代码示例可供参考。

特定利用率

这本书涵盖了破坏系统的一些常见用途，并非常详细地探讨了跨站点脚本，这可以说是攻击者使用应用程序的最常见方式。它解释了不同类型的攻击以及如何保护自己。

不错吧。你可以通过这个链接打折买书！

这本书我最喜欢的地方。

在阅读这本书的过程中，我真正享受的是信息是如何以对初学者和有经验的程序员有用的方式呈现的。提出了一系列概念，它们是什么，如何保护自己。有很多代码示例，不像一些技术书籍中的“填充代码”。

你可以快速通读这本书，因为内容不多。初学者可以通读这本书，检查每个主题，开始查看他们的代码，并进行更正。记住，在这件事情上，你需要不断的修改。如果你回头看，你会为你六个月前写的代码感到羞耻。你做得对。

高级和有经验的程序员可以使用这个指南来弥补他们的弱点(不管你在这个领域有多长时间，如果你有弱点，就承认它)，并更好地了解他们在工作中使用的系统。比如我这么多年疯狂使用认证，却从来没有在本书提到的层面考虑过。

不管你是谁，你都会学到东西。所以不要看这篇文章，去买一本吧！使用此链接购买有折扣！