php 安全课程和其他安全建议
php security course and other security advice
我用 PHP 和 MySQL 制作了一个网络应用程序,我想把它放在网络上,但我不敢这样做,因为我不确定它是安全的。我不是在存储信用卡信息(它是一个跟踪收入和支出的应用程序),但是,我仍然希望我的用户的机密信息是安全的。
我正在努力寻找关于该主题的好课程。我在 Treehouse and love it, however, they don't have a course on this topic. I completed Foundations of Programming: Web Security at Lynda 学习,虽然课程中有很多有用的信息,但我仍然没有信心确保我的应用程序安全。它充满了信息,而不是引导我从头到尾逐步完成如何使应用程序安全的过程。
例如,他们推荐了Blowfish。但他们并没有引导我完成如何实际使用它的过程。我没有看到它被使用。
所以我不想要的是:一堆指向具有安全信息的不同站点的链接,例如 Whosebug 答案 here。
我想要的是:一门从不安全的 Web 应用程序开始并向我展示使其安全的过程的视频课程,这样一旦我完成课程,我就知道我可以Web 应用程序安全。
在这个阶段,我对安全登录系统特别感兴趣,通过谷歌搜索,我看到人们说为此使用您自己的代码不是一个好主意。所以我一直在研究 PHP 库和框架并开始学习 Laravel,但这是不是有点矫枉过正?我真的需要学习整个框架来确保我的应用程序安全吗?
那么,Web 开发人员如何才能有信心知道他们的应用程序足够安全,可以放到 Web 上呢?
要检查的基本事项:
- 使用参数绑定来防止SQL注入
- 转义输出以防止 XSS
- 登录时重新生成会话ID,避免会话固定
- 使用最佳密码哈希算法
- 注意上传文件类型(通过拒绝某些文件类型或将上传的文件保留在文档根目录之外,确保用户无法上传可执行二进制文件或脚本)
- 不要将未受污染的用户输入注入已执行的命令字符串
如果您负担得起:
- 请信誉良好的公司为您进行安全审计。
我用 PHP 和 MySQL 制作了一个网络应用程序,我想把它放在网络上,但我不敢这样做,因为我不确定它是安全的。我不是在存储信用卡信息(它是一个跟踪收入和支出的应用程序),但是,我仍然希望我的用户的机密信息是安全的。
我正在努力寻找关于该主题的好课程。我在 Treehouse and love it, however, they don't have a course on this topic. I completed Foundations of Programming: Web Security at Lynda 学习,虽然课程中有很多有用的信息,但我仍然没有信心确保我的应用程序安全。它充满了信息,而不是引导我从头到尾逐步完成如何使应用程序安全的过程。
例如,他们推荐了Blowfish。但他们并没有引导我完成如何实际使用它的过程。我没有看到它被使用。
所以我不想要的是:一堆指向具有安全信息的不同站点的链接,例如 Whosebug 答案 here。
我想要的是:一门从不安全的 Web 应用程序开始并向我展示使其安全的过程的视频课程,这样一旦我完成课程,我就知道我可以Web 应用程序安全。
在这个阶段,我对安全登录系统特别感兴趣,通过谷歌搜索,我看到人们说为此使用您自己的代码不是一个好主意。所以我一直在研究 PHP 库和框架并开始学习 Laravel,但这是不是有点矫枉过正?我真的需要学习整个框架来确保我的应用程序安全吗?
那么,Web 开发人员如何才能有信心知道他们的应用程序足够安全,可以放到 Web 上呢?
要检查的基本事项:
- 使用参数绑定来防止SQL注入
- 转义输出以防止 XSS
- 登录时重新生成会话ID,避免会话固定
- 使用最佳密码哈希算法
- 注意上传文件类型(通过拒绝某些文件类型或将上传的文件保留在文档根目录之外,确保用户无法上传可执行二进制文件或脚本)
- 不要将未受污染的用户输入注入已执行的命令字符串
如果您负担得起:
- 请信誉良好的公司为您进行安全审计。