Schön, daß dieses lehrreiche und notwendige Buch nach der vergriffenen zweiten Auflage wieder erhältlich ist - wenn auch mit wenig Neuem.

Das macht die Lektüre spezieller Fachliteratur zur Pflichtaufgabe jedes Programmierers und Server- beziehungsweise Datenbankadministrators. Das Buch "PHP-Sicherheit" aus dem dpunkt-Verlag ist so eine Pflichtlektüre und eine sehr gute obendrein.

Mit einem Buch hat man alle derzeit denkbaren Angriffsstechniken und -Szenarien und -Schwachstellenbeschreibung zur Hand - das ist die Stärke dieses spezialisierten Werkes, dessen Preis von 36 Euro wirklich gut angelegt ist.

Vom 22.09.08 bis 24.09.08 findet im Linuxhotel in Essen-Horst eine PHP-Sicherheitsschulung mit mir statt. Es sind noch wenige Plätze frei. Ich würde mich freuen, ein paar von euch mal persönlich kennenzulernen.

Die dritte Auflage des Buches "PHP-Sicherheit" trägt nach wie vor zu Recht einen schlagkräftigen Namen. Allein das Inhaltsverzeichnis liest sich wie eine Offenbarung aller Schlüsselwörter, die man im Zusammenhang mit "Security" jemals gehört haben sollte.
Wäre sich jeder Web-Entwickler der angesprochenen (Un)Sicherheitsmethoden bewusst, die das Buch einsteigerfreundlich von Grund auf erklärt, würde es vermutlich keine Anwendungen mit Hack-Ansätzen mehr geben.
[..]
Zu kaum einem anderen Web-Thema kann man ein Buch so nachdrücklich empfehlen und als Pflichtlektüre ans Herz legen.

Coverillustration PHP-Sicherheit Auflage 3

Die dritte Auflage wird mit einigen Überarbeitungen und etwas neuem Inhalt im Juni erscheinen. Wer das Buch noch nicht hat, sollte spätestens dann zugreifen!

Christopher Kunz / Stefan Esser / Peter Prochaska

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

• SQL-Injection
  
• Cross-Site Scripting
  
• Angriffe gegen Sessions
  
• Angriffe auf Upload-Formulare
  
• Cross-Site Request Forgery
  
• HTTP Response Splitting
  

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.:

• Sichere Konfiguration von PHP
  
• Filterung mit mod_security
  
• Richtige Überprüfung von Variablen
  
• Blacklist-/Whitelist-Prüfungen
  
• Prepared Statements und Stored Procedures
  
• Captchas
  

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen
in PHP vermeiden sollten. Außerdem können sie anhand der im Buch
genannten "Best Practices" ihren eigenen Programmierstil kritisch
überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im
Anhang bietet eine Anleitung für Code Audits und für die Absicherung
von Projekten.



Die zweite Auflage wurde gründlich überarbeitet, aktualisiert und
an aktuelle Neuerungen wie PHP 5.2.0 angepasst. In einem zusätzlichen
Kapitel stellen die Autoren die neue PHP-Erweiterung zur Filterung von
Eingabedaten vor.

Zielgruppe:

• PHP-Entwickler
• Administratoren von Hosting-/Anwendungsservern

Das Buch sollte mir einen kleinen Einblick in die Welt der PHP-Sicherheit geben. Ich war neugierig, was es für Möglichkeiten gibt, in PHP-Anwendungen einzubrechen und wie ich meine Anwendungen gegen "böse Buben und Mädels" schützen kann.

Ich muss sagen, dass ich bei weitem nicht gedacht hätte, wie viele Angriffsmöglichkeiten und Schwachstellen es heutzutage geben kann (Session Fixation, Cross-Site Request Forgery, SQL-Injection, uvm.). Das Buch hat mir sehr geholfen, meinen Horizont in dieser Hinsicht zu erweitern.

Es werden eine Menge Angriffsmöglichkeiten erklärt und ein möglicher Schutz dagegen erläutert. Bei einigen Angriffsarten waren mir die Gedankengänge der Autoren ab und zu leider etwas zu abstrus bzw. zu theoretisch erklärt und nur schwer nachvollziehbar. Bei einigen Angriffen wurde gezeigt, welchen Code man braucht, um zu "hacken" und bei anderen wurde leider nur theoretisch beschrieben, wie "Schadcode" eingeschleust werden kann. Hier hätte ich gerne auch noch ein handfestes Praxis-Beispiel gesehen, da in mir leider nicht so viel kriminelle Energie schlummert, als dass ich mir sowas selbst ausdenken könnte

Die Anschaffung des Buches hat für mich zu 100% gelohnt und ich kann es ohne schlechtes Gewissen wärmstens weiterempfehlen!

Übrigens: großes Lob an Euch, ist ein super Buch, habe die 1. Auflage.
Hat mir sehr geholfen!!!

Die aktualisierte zweite Auflage des Buches von Christopher Kunz und Peter Prochaska, die über 50 Seiten mehr als die erste Auflage bietet, ist eine lohnende - in meinen Augen sogar dringend notwendige - Anschaffung für PHP Entwickler und Systemadministratoren, aber auch für Entwickler die mit anderen Sprachen im Web-Bereich arbeiten. Besonders die Kapitel über Parametermanipulation, Cross-Site-Scripting und SQL-Injections sind, bis auf die Beispiele in PHP, sprachübergreifend.
[...]
Meiner Meinung nach ist dieses Buch die Referenz im PHP-Security-Bereich. Die vollständige Übersicht über mögliche Attacken und Präventionsmöglichkeiten gibt es - meines Erachtens nach - nirgends sonst in einem Buch vereint. Ein Must-Have, auch für stolze Besitzer der ersten Auflage.

• PHP5-Features und -Einstellungen


• Komplett überarbeitetes Kapitel zum Hardening- bzw. Suhosin-Patch


• Neue XSSe, Attack API, neue XSS-Filter, ein wenig "Web 2.0"


• Ein neues Kapitel über ext/filter


• mod_security 2.0 - Änderungen und Probleme


• mod_parmguard als Whitelisting-Modul für Apache


• Diverse Korrekturen und Errata


• Ganz neu: Blaues Cover!