¿Cuál es la mejor manera de aprender sobre programación de temas relacionados con la seguridad? (PHP)

Question

Actualmente estoy construyendo un sitio y todos los libros que he leído en PHP hasta ahora están solo en funcionalidad y no mucho en seguridad. ¿Hay algún libro que se ocupe específicamente de hacer que su código/sitio sea seguro? No quiero salir a bolsa y al día siguiente cambiaron todos mis códigos o borré mi base de datos mediante inyección SQL.

gracias

Answer 1

Aquí está un buen lugar para empezar: https://stackoverflow.com/questions/72394/what-should-a-developer-know-before-building-a-public-web-site

me parece que Sitepoint tiene excelentes artículos también. Si alguna vez quiere un excelente artículo sobre un tema específico de PHP, generalmente puede encontrar uno allí. Para inyección SQL, ¿qué hay de http://www.sitepoint.com/article/1272

Answer 2

El Top 10 1012 es un buen lugar para comenzar.

Y here's un buen resumen de las prácticas seguras de codificación.

Answer 3

En realidad, es probable que la inyección de sql no borre su base de datos porque requiere el apilamiento de consultas. Mysql_query() de PHP solo aceptará 1 consulta a la vez. Sospecho que has leído algo sobre M $ -SQL, que es una bestia muy diferente. Usted sabría esto si ha intentado explotar una vulnerabilidad de inyección sql.

Es absolutamente imposible para comprender completamente la seguridad hasta que haya escrito un exploit. Es imposible probar cualquier parche sin intentar explotarlo. Es imposible probar que algo sea seguro a menos que hayas intentado romperlo. Pensando que usted sabe lo que es seguro es mucho más dañino que alguien que sabe que no sabe.

Entonces, ¿cómo explotan los hackers el software? Lo primero que hará un hacker es probar vulnerabilidades en el objetivo. Asegúrese de ejecutar la herramienta de prueba como Acunetix's free xss tester o mejor aún una prueba completa como Wapiti. Asegúrese de que su configuración de php esté bloqueada con PHPSecInfo. Y de familiarizarse con el OWASP top 10.