Re: [情報] 2008八月份 SA@Tainan PHP 程式設計 - …
※ 引述《billy3321 (雨蒼)》之銘言:
: ※ [本文轉錄自 PHP 看板]
: LAMP 是由 Linux , Apache , MySQL , PHP 所組成並且非常火紅的伺服器組合。
: 在 PHP 愈來愈多人使用的情況下,許多程式設計師卻容易忽略資安的相關問題
: 我們利用一點時間,來淺談 PHP 程式設計師在撰寫Internet 服務時,常會遇到的一些基
: 本資安概念。
: 本活動是一個適合對 PHP 已稍有認識,但對程式設計中安全性不知如何著手的程式設計
: 師所設計的課程。
: 本次活動我們請來了PHP的認証講師-梁楓,以他多年的實務經驗為大家解說PHP上常見的
: 攻擊手法,以及避免的方法。
其實每次看到php=安全性低這一點 , 就會覺得對PHPer不是很公平 ,
這些問題同樣會出現在一些早期的 asp (非ASP.net) ,
部份情境下的jsp , 當然更早的cgi那些就不用講了...
網頁可說同源同本 , 這些所謂的資安觀念 , 在每個語言中都會出現 ,
只是各語言都彼此互相包裝過 , 而比較少看到出問題而已.
比方說以sql injection 這隻網頁上幾乎是常識的資安 issue為例 ,
Java開發者採用 hibernate 或 PrepareStatement就可以不用考慮 ,
兜字串跑sql之類的當然還是要考慮 .
而背後的原理都是 sql 語法執行期有沒有能被惡意植入的漏洞.
雖然我不是phper , 不過把php跟不安全劃上等號其實不太公平就是了.:p
(如果說寫過就算的話 , 我是可以算phper...但是我不會說我會php...XD)
總之 , 充實資安常識是全民應該要有的東西 ,
他並不是非得要有什麼特別的工具跟手段 ,
而是很簡單的一些常識跟原理而已 , 請不要將其束之高閣. orz
---
其實web的資安問題 , OWASP 網站上那十大看一看就差不多了 ,
主要常見是XSS , Sql Inection , fishing , 錯誤訊息管理 , 網址設定權限防試誤..
http://www.owasp.org/index.php/Taiwan
第一個是影響直接 , 導致一些知名blog 統統把自訂script功能關掉 ,
第二個則是花旗銀行曾經爆過資料外洩 ,
第四個則是去年有一個遊戲看起來像是log中包含秘密資訊而遭洩漏 ,
第五個也是戰果輝煌 , 我考大學那年大考榜單放榜被人早一天先踹出網址... -.-a
--
What do you want to have ? / What do you have?
從書本中,你可以發現我的各種興趣。
從CD中,你可以瞭解我所喜歡的偶像明星。
或許從文字你很難以瞭解一個人,但從物品可以。
My PPolis , My past. http://ppolis.tw/user/Tony
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.104.40.10
推
08/27 23:28, , 1F
08/27 23:28, 1F
推
08/28 00:47, , 2F
08/28 00:47, 2F
→
08/28 00:47, , 3F
08/28 00:47, 3F
推
08/28 01:15, , 4F
08/28 01:15, 4F
→
08/28 07:56, , 5F
08/28 07:56, 5F
→
08/28 08:06, , 6F
08/28 08:06, 6F
→
08/28 08:06, , 7F
08/28 08:06, 7F
→
08/28 10:38, , 8F
08/28 10:38, 8F
→
08/28 10:38, , 9F
08/28 10:38, 9F
推
08/28 12:28, , 10F
08/28 12:28, 10F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):