書籍は大好きなクセに、未開封の本が20~30冊は溜まっているだろう我が家のパソコン前。
たまたま今日開封した本が、これはっ!という良書だったので、簡単に紹介してみる。 (書評は苦手なのよん)
最近じゃ、使い勝手の良さからめっきりPHPを使う事が多くなったのだが、簡単なコードで動いてしまい、喜び勇んで遊んでいる間に脆弱性の対策が疎かになってしまう事がある。
常々、こんな事ぢゃ危ない!と危機感は持っていたのだが、具体的な対策は断片的に記憶しているもの、それがまとまっている情報サイトや書籍は今まで無かった。
そんな時に見つけたのが「PHP サイバーテロの技法 攻撃と防御の実際」
Xoopsをお使いの方ならこの著者の名前を一度は見た事があるのではないだろうか?自分は暫くXoopsの動向を追うことはしていなかったが、昔よりXoopsオフィシャルサイトなどでご活躍している方なので、なんとなく名前に惹かれて購入してみた。
内容は。
序章なPart1に続く、Part2でいきなり「Webアプリケーションを実際に攻撃してみよう」と来て度肝を抜かれてしまうが、攻撃方法を知ってこそ防御が出来るというもので、これが一番理解しやすい解説方法かもしれない。
実際に脆弱性を無視して組んだページに自分で攻撃を仕掛けてみて、初めてその脆さに驚いてしまったぐらいである。
例えば、最初に出てくる簡単なサニタイズ解説ではこうだ。
×: データ格納前に strip_tags(文字列);
○: 出力前にhtmlspecialchars(文字列, ENT_QUOTES);
どうして前者じゃなく後者でサニタイズするかの解説は書籍を読んで理解して欲しいので譲るとして。
自分も本能的に後者でサニタイズをしていたと思ったが、どうしてそうしたかは覚えていなかったりする。昔に書いたコードを確かめてみるとstrip_tagsでサニタイズしていた頃もあったりして、はっきりいって良く理解していないままコーディングしている事に気付かされた。
と、基本的にPHPでウェブアプリケーションを組んだ事がある人向けの内容なので、読み進めてゆくには初歩的な知識は必要ではあるが、危ないシステムを組まない為にも全てのPHPプログラマ必読のバイブルだと思う。
| PHPサイバーテロの技法―攻撃と防御の実際 | |
|
GIJOE おすすめ平均  Webアプリケーションを開発及び運用する上でぜひ読んでおきたい一冊非常に詳細に学ぶことができると思います。だれでも思い付きそうで恐いWeb サーバー管理者はみな読むべき名著Webアプリのセキュリティ本では一番Amazonで詳しく見る by G-Tools |
