《PHP安全之道》内容简介

本书主要面向PHP研发人员，详细讲解PHP项目漏洞的产生原理及防范措施，帮助研发人员在项目研发过程中规避风险。全书共有10章。第1章讲述PHP项目安全问题的主要形成原因以及解决PHP项目安全问题的原则；第2章讲述PHP项目安全的基础，以使研发人员了解PHP语言自身的安全机制；第3章通过讲解PHP编码过程中需要注意的安全问题，帮助研发人员正确运用PHP函数及变量转换；第4章阐述常见的漏洞并给出了相应的处理方式，涉及SQL注入漏洞、XML注入漏洞、邮件安全、PHP组件安全、文件包含安全、系统命令注入等方面，帮助研发人员在项目初期即能有效防范漏洞问题；第5章讲述PHP与客户端交互过程中存在的安全隐患及解决方案，包括浏览器安全边界、客户端脚本攻击、伪造劫持等一系列和客户端相关的安全防护；第6章讲述在PHP项目中常用的加密方式及其应用场景；第7章讲述PHP项目安全的进阶知识，帮助研发人员在更高的角度防范风险；第8章从PHP业务逻辑安全的角度讲述每个业务场景的安全防范路径，以进一步提升研发人员在PHP项目实战中对安全问题的认识，并提高解决具体业务安全问题的能力；第9章讲述PHP的各种支撑软件的安全应用问题；第10章讲述如何建立有安全保障的企业研发体系。
对于PHP项目的安全问题，本书不仅进行了系统性的阐释，给出了体系化的安全问题解决之道，还通过丰富的小示例帮助读者在平常工作中得以见微知著，并能防微杜渐，增强安全意识，提高安全警惕，不放过任何威胁到项目安全的“细枝末节”。因而，本书不仅适合PHP研发人员，也适合网络安全技术人员参阅。
栾涛，信息安全专家、资深研发工程师、架构师，先后就职于奇虎360、滴滴出行，参与设计和研发了多种大型业务系统和大型信息安全系统，擅长大型微服务、信息安全、大数据等各类业务架构支撑与实施工作，在安全防护、监测、扫描等大型系统的设计与研发上有着丰富的实战经验。

作品目录

内容提要
序
推荐语录
前言
名词解释
第1章：PHP项目安全概述
1.1、PHP项目安全形势不容乐观
1.2、PHP项目安全问题产生的原因
1.3、PHP项目安全原则
1.4、小结
第2章：PHP项目安全基础
2.1、信息屏蔽
2.2、防止全局变量覆盖
2.3、使用PHP的访问限制
2.4、PHP中的Cookie安全
2.5、PHP的安装与升级
2.6、小结
第3章：PHP编码安全
3.1、弱数据类型安全
3.2、PHP代码执行漏洞
3.3、PHP变量安全
3.4、URL重定向安全
3.5、请求伪造攻击
3.6、文件上传安全
3.7、避免反序列化漏洞
3.8、小结
第4章：PHP项目中的常见漏洞与防护
4.1、SQL注入漏洞
4.2、SQL注入漏洞防护
4.3、XML注入漏洞防护
4.4、邮件安全
4.5、PHP组件漏洞防护
4.6、文件包含安全
4.7、系统命令注入
4.8、小结
第5章：PHP与客户端交互安全
5.1、浏览器跨域安全
5.2、XSS漏洞防御
5.3、警惕浏览器绕过
5.4、跨站请求伪造防御
5.5、防止点击劫持
5.6、HTTP响应拆分漏洞
5.7、会话攻击安全防御
5.8、小结
第6章：PHP与密码安全
6.1、用户密码安全
6.2、防止暴力破解
6.3、随机数安全
6.4、数字摘要
6.5、MAC和HMAC简介
6.6、对称加密
6.7、非对称加密
6.8、小结
第7章：PHP项目安全进阶
7.1、单一入口
7.2、项目部署安全
7.3、保障内容安全
7.4、防止越权和权限控制
7.5、API接口访问安全
7.6、防止接口重放
7.7、小结
第8章：PHP业务逻辑安全
8.1、短信安全
8.2、敏感信息泄露
8.3、人机识别策略
8.4、常见业务流程安全
8.5、其他业务安全
8.6、小结
第9章：应用软件安全
9.1、应用指纹安全
9.2、服务器端口安全
9.3、Apache的使用安全
9.4、Nginx的使用安全
9.5、MySQL的使用安全
9.6、Redis的使用安全
9.7、Memcache的使用安全
9.8、小结
第10章：企业研发安全体系建设
10.1、微软工程项目安全简介
10.2、OWASP软件保障成熟度模型简介
10.3、建立合理的安全体系
10.4、安全应急响应
10.5、小结
附录
附录1、PHP各版本漏洞
附录2、常见PHP开源系统指纹