导读:这是本书的第一章,概括起来说,就是告诉我们,WEB应用的三大环节的不安全性,常见的PHP安全理论——每个应用程序都有安全度量需求。
详细:
1 不安全性
-PHP语言本身就是不安全的。PHP没有强类型变量,且支持全局变量。
-WEB应用程序本身就是不安全的。因为它允许未知的用户直接访问服务器。
-服务器虽然可以控制访问权限,设置防火墙等,但是,对于WEB应用程序来说,这显然不可能,所以,服务器也是不安全的。
-网络的不安全性。网络置身于整个互联网中,这就导致不可能存在绝对的安全。
2 两个关键点
-黑客通常是通过不安全的应用程序获得服务器控制权。
-应用程序编程人员不需要获得计算机科学学位就可以修复应用程序安全漏洞。
3 错误的安全观念
-使用复杂的目录结构和随即的文件名。
-完全信任网络安全措施和服务器安全措施,忽略应用程序安全措施。
-自认为“我们的应用程序并不值得攻击”。
4 三级防御
-提高网络安全。
-提高服务器安全。
-提高应用程序安全。
5 其他安防手段
编写一些位于PHP和其他技术层的封装代码。例如:Hardened-PHP组织。