Absolute Sicherheit gibt es nicht. Aber bekannte Fehler lassen sich vermeiden. Diese Grundregel gilt auch für PHP -- Paranoia hilft nicht weiter, aber Nachlässigkeit ist Selbstverschulden -- Christopher Kunz und Peter Prochaska schließen nun mit ihrem Buch PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren für viele engagierte PHP-Programmierer eine Wissenslücke und zeigen praktisch und leicht umsetzbar, wie sich PHP-basierte Webanwendungen gezielt absichern lassen, woher Gefahren drohen und welche Regeln zu beachten sind.

Für viele Hobby- aber auch Profi-Webentwickler stand und steht bei PHP die einfache Umsetzung bei gleichzeitig ungeschlagener Leistungsfähigkeit im Vordergrund. Fragen zur Sicherheit ergaben sich erst im Laufe der Zeit, vor allem durch die große Verbreitung. Wie nun also "nachträglich" Sicherheit "einbauen"? Was kann denn eigentlich passieren? Und was gilt es bei zukünftigen PHP/MySQL-Projekten zu beachten?

Kunz und Prochaska bieten Einstieg, Übersicht und konkrete Lösungen und richten sich damit sowohl an Entwickler und Administratoren, die nachträglich bestehende PHP-Projekte sicherheitsrelevant überarbeiteten als auch an Programmierer, die neue Anwendungen vorneweg "härten" wollen. Dabei setzen sie für PHP/MySQL relevante Administratorenkenntnisse und natürlich praktisches Wissen rund um datenbankbasierte PHP-Anwendungen voraus.

Die Themen umfassen nach einer Einleitung zu Begriffen, Quellen und Hintergründen etwa die Informationsgewinnung, Parametermanipulation, Cross-Site Scripting, SQL-Injection, Sessions und PHP-Hardening. Die Kapitel beginnen meist mit einer Starterklärung, es folgen Beispiele, Lösungen und am Ende ein Fazit. Im Anhang dann noch eine Checkliste, eine Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung sowie ein Glossar und ein Stichwortverzeichnis.

Kunz und Prochaska zitieren in PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren Security-Guru Bruce Schneier mit den Worten "Security is a process, not a product." -- das Motto passt auf ihr Buch wie gegossen, denn sie vermitteln Sicherheit nicht als Hindernis oder Erschwernis, sondern als Teil des PHP-Datenbank-Ganzen. Ein "Must-have" für alle PHP-Programmierer, die sich und ihre Arbeit ernst nehmen. --Wolfgang Treß

"Aufgrund der enormen Fülle an Informationen über ein so essentielles Thema, ist das Buch daher eine lohnende Investition für jeden, der sich ernsthaft mit der Entwicklung von PHP Anwendungen beschäftigt."

"Nachvollziehbar, mit Codebeispielen versehen und bequem zu lesen: Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er PHP-Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen. ... macht dieses Buch selbst für Admins wertvoll, die selbst gar kein PHP programmieren. "

PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Durch die steile Lernkurve und den hohen Funktionsumfang ist die Sprache für Anfänger genauso geeignet wie für die Umsetzung sehr ambitionierter Projekte. Leider werden von herkömmlichen Büchern die Sicherheitsaspekte bei der Implementierung von PHP-Scripten oft eher stiefmütterlich behandelt. Unsichere PHP-Entwicklung kann jedoch massive Sicherheitsprobleme nach sich ziehen und für komprommitierte Server und verunstaltete Webseiten verantwortlich sein.

Das Buch soll beginnenden und fortgeschrittenen Programmieren die häufigsten Fehler und Probleme in PHP/MySQL-basierten Projekten aufzeigen und einen Leitfaden für "Best Practices" an die Hand geben. Mit einer Checkliste im Anhang können Entwickler schnell und unkompliziert direkt in die Fehlersuche bei neu konzipierten oder bereits fertiggestellten Programmen einsteigen.

Einsteiger in die PHP-Programmierung lernen anhand des Buches, das als Zusatzwerk zu PHP-Einsteigerwerken dienen kann, welche oft gemachten Fehler sie bei der Realisierung ihrer Ideen in der Web-Scriptsprache nicht begehen dürfen. Fortgeschrittene können anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch auf den Prüfstand stellen. Die Checkliste im Anhang bietet eine Erleichterung bei Code Audits oder der Absicherung von Projekten.

PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

- SQL-Injection - Cross-Site Scripting - Angriffe gegen Sessions - Angriffe auf Upload-Formulare - Cross-Site Request Forgery - HTTP Response Splitting

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.: - Sichere Konfiguration von PHP - Filterung mit mod_security - Richtige Überprüfung von Variablen - Blacklist-/Whitelist-Prüfungen - Prepared Statements / Stored Procedures - Captchas

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen in PHP vermeiden sollten. Außerdem können sie anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im Anhang bietet eine Anleitung für Code Audits und für die Absicherung von Projekten, sowohl bei neu konzipierten als auch bei bereits fertig gestellten Programmen.

Vorausgesetzt werden Erfahrungen mit datenbankbasierten PHP-Anwendungen sowie grundlegende Kenntnisse in der Administration von Unix- bzw. Windows-Systemen.

Christopher Kunz ist Mitinhaber der Filoo GmbH, die Hosting, Housing und PHP-Consulting anbietet. Er ist wie Peter Prochaska Mitglied im Hardened-PHP Project und kümmert sich dort hauptsächlich um Dokumentation, Kommunikation und Advisories. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent auf mehreren PHP-Konferenzen zu sehen. Christopher Kunz lebt in Hannover und studiert an der dortigen Universität Informatik.

Peter Prochaska ist hauptberuflich bei der DATEV eG in Nürnberg als Security-Berater für Webanwendungen angestellt. Nebenbei ist er Mitglied im Hardened PHP Project und führt dort für verschiedene Firmen, aber auch Open-Source-Projekte Security Audits durch. Als PHP-Entwickler hat er es mit Programmieraufträgen für unterschiedliche Firmen zu tun, bei denen natürlich die Sicherheit im Vordergrund steht. Er beschäftigt sich seit 1998 mit der PHP-Entwicklung, ist als Referent für PHP- und Security-Themen in ganz Deutschland unterwegs und hält Schulungen und Vorträge. Zusammen mit Christopher Kunz schreibt er eine monatliche Sicherheitskolumne für das deutsche PHP Magazin.

Technisch sehr gut, Sprachlich und Inhaltlich etwas eigen
Ich möchte mich im wesentlich an die positiven Rezesionen anschließen und um folgende Punkte erweitern.

- Technisch ist das Buch auf dem neuesten Stand (soweit man es von einem Buch erwarten kann)
- Etwas komisch finde ich die nervenden Wiederholung. z.B: Wird mehr als 5 mal beschrieben was der Unterschied zwischen Black-und Whitelist. So werden auch komplette Sätze 1zu1 in aufeinanderfolgenden Kapitel verwendet, dadurch wirkt das Buch beim lesen etwas stumpf.
- Mir ist aufgefallen, dass die Autoren zum Ende hin in Zeitnot kommen und die Sätze immer kompakter werden. (Am Anfang werden recht viele Begriffe erklärt, was zum Ende hin komplett vernachlässigt wird)
- Das wichtige Thema SQL-Injection finde ich sehr kurz geraten (ca. 21 Seiten)
- XSS ist dafür sehr angenehm erläutert.
- ein paar Code-Fehler sind auch in der neuen Auflage drin (jeder Erfahrene Programmierer erkennt diese aber sofort und weis was gemeint ist)
- etwas schwach kommt mir das Kapitel über CAPTCHAs vor (ca. 4 Seite, davon 1 Seite Code).

Das Buch ist für ein breites Publikum geschrieben und überzeugt im Gesamtkonzept. Besonders die manchmal trivialen Code-Beispiele können überarbeitet werden. Evtl. eine Code-CD zum Buch!

Lücken schnell und einfach schließen
Auf über dreihundert Seiten werden in der dritten, überarbeiteten Auflage des Buches systematisch die Grundlagen erklärt, um dann in größeren Gedankenschritten zu den einzelnen Angriffsmethoden überzugehen. Etliche Möglichkeiten werden angesprochen und auch erklärt, so dass einem die Versäumnisse zahlreicher anderer PHP-Grundlagenbüchern einmal vor Augen geführt werden.
Das Buch richtet sich dabei an Anfänger wie Fortgeschrittene gleichermaßen. Es erklärt die einzelnen Angriffe und Gegenmaßnahmen so, dass auch Neulinge auf dem Gebiet der Sicherheit den Inhalt erfassen können, bietet aber im späteren Verlauf auch den fortgeschrittenen PHP-Programmierern Ansatzmöglichkeiten, um ihren Quellcode zu verbessern und damit auch größere Webapplikationen sicherer zu machen.
Im Anhang befinden sich noch einige nützliche Dinge, wie zum Beispiel eine Checkliste. Hier werden tabellarisch die Art der Lücke und eine kurze Erläuterung dazu vermerkt. Dadurch entwickelt sich das Buch auch noch zum Nachschlagewerk für zwischendurch.
Einzig der Preis fällt ein wenig negativ auf; für eine dritte Auflage sind 36 Euro doch schon recht teuer, die Qualität des Inhalts ist dem Preis aber noch angemessen.

Fazit:
Wer wirklich eine Webapplikation ins Netz stellen möchte, sollte unbedingt auf die Sicherheit achten. Gerade in der heutigen Zeit, in der viele Menschen meinen, PHP zu "können", gibt es etliche Schwachstellen in den Scripten und die meisten sind sich gar nicht bewusst, wie andere solche Lücken ausnutzen könnten, zum Beispiel zum Versand von Spam. Sicherheit bei der Programmierung ist sehr wichtig und dieses Buch bietet einen Leitfaden, oft gesehene Lücken schnell und einfach zu schließen; es kann damit uneingeschränkt empfohlen werden.

Empfehlenswertes Buch zur Web-Weltverbesserung
Die dritte Auflage des Buches "PHP-Sicherheit" trägt nach wie vor zu Recht einen schlagkräftigen Namen. Allein das Inhaltsverzeichnis liest sich wie eine Offenbarung aller Schlüsselwörter, die man im Zusammenhang mit "Security" jemals gehört haben sollte.

Wäre sich jeder Web-Entwickler der angesprochenen (Un)Sicherheitsmethoden bewusst, die das Buch einsteigerfreundlich von Grund auf erklärt, würde es vermutlich keine Anwendungen mit Hack-Ansätzen mehr geben.

Gerade für Einsteiger in die PHP-Programmierung dürfte die Lektüre augenöffnend sein, wobei man vermutlich bei jedem Umblättern einen neuen Schreck bekommt, welche trivialen Dinge man bei seinen Anwendungen falsch gemacht hat. Ein Buch mit ähnlich großem Lern- und Aha!-Effekt ist mir bisher noch nicht untergekommen.

Wer bisher dachte, dass sichere Programmierung ein langweiliges Nebenschlachtfeld der Web-Entwicklung ist, wird mit durchaus interessanten Beispielen im Buch eines Anderen belehrt. Durch die prägnante, aber dennoch detailierte Beschreibung der Vorgänge kommt hier sogar richtig beinahe IT-Krimi-Lesespannung auf. ;-)

Erfahreneren Entwicklern bietet das Buch ein großartiges Nachschlagewerk, und hilft bestehende Scripte auf bekannte Angriffszenarien abzuklopfen. Besonders für solche Entwickler ist es angenehm, dass das Buch nicht pauschale Behauptungen aufstellt, sondern diese stets durch Fakten oder Code-Beispiele belegt und auch alle Eventualitäten mit abdeckt und relativiert.

Die Checklisten im Anhang des Buches bieten eine komfortable Möglichkeit, um eigene neue oder bestehende Anwendungen zügig auf potentielle Schwachstelle zu prüfen, und vor allem die Rahmeneinstellungen von PHP und des Web-Servers abzusichern.

Zu kaum einem anderen Web-Thema kann man ein Buch so nachdrücklich empfehlen und als Pflichtlektüre ans Herz legen.

Ein Muss-Buch für jeden PHP-Programmierer!
Dieses Buch, was bisher ca. jedes Jahr in einer neuen Auflage erscheint, ist ein Muss für jeden ernsthaften PHP-Programmierer! Wenn man den Kinderschuhen der PHP-Anwendungen entwachsen ist, stellt sich selbstverständlich immer die Frage - Wie sicher ist meine Anwendung? Diese Frage wird in diesem Buch genau erläutert. Wie hackt man PHP-Anwendungen? Wie geht man vor, damit die eigenen PHP-Anwendungen nicht gehackt werden können? Oder zumindest nicht ganz einfach... Auf alle diese Fragestellungen wird in diesem Buch ausführlich eingegangen. Es empfiehlt sich auch, jedes Jahr das Update dieses Buches zu kaufen.

Der letzte Heuler das Buch - Finger davon
Ich würde mir das Buch nicht wieder kaufen und ich werde auch keine weiteren Bücher dieser Auflage mehr kaufen!

Denn als Nachschlagewerk taugt das Buch zwar was im Bezug auf PHP Sicherheit, aber mit den meisten Gegenmassnahmen Beipielen kann ehrlich gesagt nix mit anfangen.

Und wer denkt das erklärt wird wie man die Gefahren selber an seinen Scripten testen kann der hat sich ganz geirrt ^^

Top
Diese Buch vermittelt klar und verständlich alle gängigen Angriffsarten, die bei Webapplikationen im Allgemeinen und PHP-Anwendungen im Speziellen Sicherheitslücken ausnutzen und so beträchtliche Kosten für Administratoren und Unternehmen verursachen können. Es sollte Pflichtlektüre für jeden ernsthaften Entwickler für PHP werden.
Alles in allem bin ich rundum zufrieden und habe mich beim Lesen dieses Buches selbst immer wieder ertappt, dass auch in den eigenen Seiten Sicherheitslücken klaffen wie Scheunentore, die es zu schließen gilt.
Top!

PHP und Sicherheit ein oft vergesenes Thema
Viele unterschätzen die Risiken die sich bei fehlerhafter oder einfach nur "schlampig" programmierten Webanwendungen ergeben. Spammails, Datenbank löschen oder auch direkter Zugriff auf den Server sind einige Beispiele was durch fehlerhaften Code möglich ist. Dabei muss man zum Teil leider sagen das vor allem kommerzielle Produkte davon betroffen sind (z.B. Blog Hoster, Shop usf.). In meiner Laufbahn als Programmierer bin ich oft mit solchen Skripten konfrontiert, umso mehr freut es mich dass endlich ein Autor sich diesem Thema gewidmet hat. Jeder der sich mit PHP auseinandersetzt sei es nun Programmierer oder auch Server Administrator sollte sich mit diesem Thema befassen! Das Buch bietet einen idealen Einstieg. Viele fertige Lösungen zum direkten übernehmen, anschauliche Beispiele und viel Know How so würde ich dieses Buch beschreiben.

Wenn sie dieses Buch lesen werden sie sich auch die eine oder andere Aha Erfahrung machen.

Von Grund auf sichere PHP-Anwendungen erstellen
Das Buch sollte mir einen kleinen Einblick in die Welt der PHP-Sicherheit geben. Ich war neugierig, was es für Möglichkeiten gibt, in PHP-Anwendungen einzubrechen und wie ich meine Anwendungen gegen "böse Buben und Mädels" schützen kann.

Ich muss sagen, dass ich bei weitem nicht gedacht hätte, wie viele Angriffsmöglichkeiten und Schwachstellen es heutzutage geben kann (Session Fixation, Cross-Site Request Forgery, SQL-Injection, uvm.). Das Buch hat mir sehr geholfen, meinen Horizont in dieser Hinsicht zu erweitern.

Es werden eine Menge Angriffsmöglichkeiten erklärt und ein möglicher Schutz dagegen erläutert. Bei einigen Angriffsarten waren mir die Gedankengänge der Autoren ab und zu leider etwas zu abstrus bzw. zu theoretisch erklärt und nur schwer nachvollziehbar. Bei einigen Angriffen wurde gezeigt, welchen Code man braucht, um zu "hacken" und bei anderen wurde leider nur theoretisch beschrieben, wie "Schadcode" eingeschleust werden kann. Hier hätte ich gerne auch noch ein handfestes Praxis-Beispiel gesehen, da in mir leider nicht so viel kriminelle Energie schlummert, als dass ich mir sowas selbst ausdenken könnte :-)

Die Anschaffung des Buches hat für mich zu 100% gelohnt und ich kann es ohne schlechtes Gewissen wärmstens weiterempfehlen!

DAS Buch zum Thema Sicherheit
Ich habe mir das Buch mit Hoffnung auf eine umfassende Lektüre zum Thema Sicherheit mit PHP & Mysql Anwendungen gekauft. Diese Hoffnungen - und Erwartungen - wurden vollständig erfüllt.

Das Buch richtet sich sowohl an Anfänger wie auch an Profis, da der Schreibstil klar und eindeutig und sehr leicht verständlich ist.

Der Inhalt verfolgt eine klare Linie. Die Autoren führen den Leser somit durch das komplette Thema ohne sich in Details aufzuhängen, oder wichtiges zu vergessen. Zudem hängt sich das Buch nicht an irgendwelchen Codebeispielen auf, sondern zeigt nur die wichtigen Codeschnipsel.

Ich lege dieses Buch jedem PHP Entwickler nahe, da man das Thema Security nicht verachten darf! Die ca. 300 Seiten sind komplett mit Wissen gefüllt und nicht wie so oft mit unwichtigen Details vollgestopft.
Ein Buch mit viel Praxis, von dem man was lernen kann...

PHP-Sicherheit 2. Auflage
Die aktualisierte zweite Auflage des Buches von Christopher Kunz und Peter Prochaska, die über 50 Seiten mehr als die erste Auflage bietet, ist eine lohnende - in meinen Augen sogar dringend notwendige - Anschaffung für PHP Entwickler und Systemadministratoren, aber auch für Entwickler die mit anderen Sprachen im Web-Bereich arbeiten. Besonders die Kapitel über Parametermanipulation, Cross-Site-Scripting und SQL-Injections sind, bis auf die Beispiele in PHP, sprachübergreifend.

Die wichtigsten Neuerungen in der zweiten Auflage sind
- PHP5: Neue Features und Konfiguration
- Ein Kapitel über die Vor- und Nachteile von ext/filter
- Das Kapitel zum Hardening- bzw. Suhosin-Patch wurde komplett überarbeitet von Security-Guru Stefan Esser, der nun als Co-Autor mit ins Boot genommen wurde. Somit gleicht die Liste der Autoren des Buches nun der des Hardened-PHP Projektes.
- mod_security 2.0: Änderungen und Probleme
- mod_parmguard als Whitelisting-Modul für Apache
- Neue XSS-Attacken, XSS-Filter und Attack API

Das Buch eignet sich für den geneigten Leser als Nachschlagwerk beim Entwickeln oder um einfach mal die beschriebenen Angriffe und Konfigurationstipps auszuprobieren und nachzuvollziehen. Auch als Bettlektüre ist es nicht zu verachten, da es sich sehr gut liest und mehr Fließtext als Code enthält. Das Hauptaugenmerk liegt hier auf der Vermittlung von professionellem Wissen aus dem Bereich Web-Security und nicht auf Code-Beispielen.

Die Zielgruppe des Buches sind alle PHP-Entwickler, vom Anfänger bis zum Profi. Finden wird hier jeder etwas ihm bis dato unbekanntes. Ausserdem ist das Buch eine hervorragende Hilfe bei der Konfiguration von PHP sowie dem Hardening-Patch / Suhosin und diverser Erweiterungen und Module.

Meiner Meinung nach ist dieses Buch die Referenz im PHP-Security-Bereich. Die vollständige Übersicht über mögliche Attacken und Präventionsmöglichkeiten gibt es - meines Erachtens nach - nirgends sonst in einem Buch vereint. Ein Must-Have, auch für stolze Besitzer der ersten Auflage.

Ein gutes Buch
Ein gutes, deutschsprachiges Buch zu diesem Thema. Enthält sehr viel wissenswertes, ohne unnötigen Ballast. Die Autoren sind in der (PHP-)Security Szene bekannt und verfügen über ein sehr gutes Know-How...

Fazit: Ein Buch von Fachleuten das jeder lesen sollte der einen Webserver mit PHP/Mysql betreibt

Kaufen!!!
Es gibt nur wenige Fachbücher die zum einen ausgezeichnet geschrieben und dann auch noch inhaltlich überzeugend sind. Dieses Buch gehört definitiv dazu. Die beiden Autoren kommen sehr schnell auf den Punkt, so dass man sich keine langen theoretischen Ausführungen anhören muss. Wer schon mal an einem Audit teilgenommen hat, weiß vielleicht wovon ich spreche.
Das Buch ist sehr schön strukturiert. Der einleitende Teil weckt das Interesse des Lesers und der vertiefende Teil nennt dann auch die Details die benötigt werden.
Das Buch hat in meinen Augen keinerlei Schwachpunkte es ist durch und durch empfehlenswert und sollte Pflichtlektüre für jedes Webentwicklerteam sein.
Fachlich gesehen spricht es in meinen Augen alle aktuell wichtigen Themen an und nennt auch gute Lösungen für die Praxis. Letzteres ist wirklich Gold wert!

Empfehlenswertes Buch für alle Erfahrungsklassen
Das Buch ist ein Muss für jeden PHP-Programmierer.
Es vermittelt auf verständliche Art und Weise ein wichtiges Grundwissen, um seine Webanwendungen vor Angriffen zu schützen.

Leider fehlen mir jedoch praktische Beispiele und es wird mehr beschrieben, wie ein Angriff funktioniert, als wie man ihn abwehren kann; dennoch verspricht diese Lektüre nicht zu viel: nach dem Durcharbeiten sollte man trotzdem in der Lage sein, die Waffen gegen die im Buch erwähnten Angriffsformen (wie z.B. Cross-Site Scripting, HTTP Response Splitting u.s.w.) auszufahren.

Ich persönlich kann das Buch an alle empfehlen, egal ob Anfänger oder Forgeschrittener, da das Internet immernoch mit löchrigen PHP-Anwendungen überflutet wird und Vieles in Tutorials oder Einsteigerbüchern nur selten vermittelt wird.

Hackern das Leben schwer machen ...
Die beiden Sicherheitsexperten Kunz und Prochaska schreiben gut verständlich, worauf es beim Schreiben von hieb- und stichfesten Webapplikationen ankommt. Sie gehen auf so wichtige Sicherheits-Themen ein wie Parametermanipulation, Cross-Site Scripting (XSS), SQL-Injection, Autorisierung und Authentisierung (inkl. sichere und vergessene Passwörter), Sessions und Upload-Formulare. Daneben erläutern sie, wie PHP und Apache konfiguriert werden soll, um die bekannten Sicherheitslöcher zu stopfen.

Der Anhang rundet das Thema ab: Checkliste für sichere Webapplikationen, wichtige Optionen in "php.ini", Liste mit bekannten Schwachstellen (inkl. Bewertung des Gefahrenpotentials). -- Wer dieses Buch gelesen hat, vermeidet die üblichen (simplen) Fallen, in die ein unbedarfter Programmierer (fast 100%-ig) tappt, und er/sie/es braucht sich nicht mehr vor Hackern zu fürchten.

Christopher Kunz und Peter Prochaska - PHP Sicherheit
Das knapp 270 Seiten starke, beim dpunkt.verlag für 36 EUR erhältliche Buch "PHP Sicherheit - PHP/MySQL-Webanwendungen sicher programmieren" von Christopher Kunz und Peter Prochaska behandelt das trockene Thema der Sicherheit von Webapplikationen gut verständlich.

Nach einer kurzen Einführung zum Thema Sicherheit von Webapplikationen taucht das Buch Anhand von zahlreichen und nachvollziehbaren Beispielen in die Themen Parametermanipulation, Cross-Site-Scripting und SQL-Injection ein. Dabei werden zu den meisten Angriffszenarien gleich Wege aufgezeigt, sich und seine Programme durch sichere Programmierung vor den Angriffen zu schützen.

Der knapp 120 Seiten starke Abschnitt - der sich vor allem an Softwareentwickler richtet - schließt mit Kapiteln zur Absicherung von Authentifizierung und Autorisierung, Sessions und Dateiuploads ab.

Anschließend wird auf PHP-Interna eingegangen, um rasch auf die sichere Konfiguration von PHP und Möglichkeiten zur Absicherung von PHP-Installationen und Webservern einzugehen, was das Buch auch für Systemadminstratoren lesenwert macht. Ein Schwerpunkt liegt dabei auf der Konfiguration von Hardened PHP, einem Sicherheitspatch für PHP sowie mod_security, einem einfach konfigurierbaren HTTP-Request-Filter für den Apache Webserver.

Eine Checkliste für sichere Webapplikationen rundet das Buch ab.

Nach dem eher enttäuschenden Essential PHP Security von Chris Shifflett und dem ebenfalls empfehlenswerten PHP]Architect’s Guide to PHP Security von Ilia Alshanetsky ist mit PHP-Sicherheit endlich auch ein deutschsprachiges Buch zum Thema Sicherheit von PHP-Applikationen erhältlich.

sehr umfassend, leider nicht so gut struckturiert
inhaltlich ist das buch absolut top. sehr umfassend, habe sehr viel dazu gelernt. auf die wenigsten dinge wird in "normalen" php-büchern eingegangen.

was mich gestört hat, ist, dass jedes kapitel so aufgebaut ist, dass zuerst ein haufen an sicherheitslücken aufgezeigt wurde und erst dann auf die behebung der lücken eingegangen wurde, anstatt, dass man für jedes problem sofort die lösung hinten ran packt.

nichts desto trotz bekommt das buch von mir 4 sterne. sollte sich jeder kaufen, der sich etwas intensiver mit php befasst und viel programmiert. man kann viel lernen.

Unverzichtbar für professionelle PHP-Entwicklung
Sicherheit ist zu einem Thema geworden, an dem kein PHP-Entwickler mehr vorbei kommt. Alte Problemfelder wie SQL-Injections und Code Executions sind in kritischen Applikationen heute finanzielle Risiken. Neue Lösungswege wie Ajax schaffen mit XSS, CSRF und DOM-Manipulationen neue Gefahren.
Das Buch von Peter und Christopher, beide in der deutschen PHP-Welt als Sicherheitsexperten wohlbekannt, definiert den State of the Art. Es ist das zur Zeit auch international umfassendste Werk zum Thema und spricht alle Bereiche an, die ein PHP-Entwickler kennen muss.
Erfreulicherweise beschränkt sich das Buch dabei nicht auf Development, sondern zeigt mit Hardened PHP und Mod-Security wie Sicherheit auch durch Infrastruktur gestützt werden kann.
Und, vielleicht zählt das ja auch: Wir haben uns für jedes Office ein Exemplar gekauft.

Exzellent, umfassend, verständlich, präzise
Ein Muß für Anfänger wie Fortgeschrittene und äußerst erfahrene PHP-Entwickler oder Systemadministratoren!

Nach der Lektüre dieses Buches hat man jedes Mal, wenn man es wieder in die Hände nimmt, automatisch ein Gefühl von Sicherheit.

Das liegt vor allem daran, dass "PHP-Sicherheit" gut durchdacht und klar formuliert ist. Das ist wichtig, denn beim Thema Sicherheit sollten keine Mißverständnisse entstehen.

Man merkt dem Buch an, dass beide Autoren sich ihrem Thema objektiv und umfassend angenähert haben und eine Fülle praktischer Erfahrungen haben einfließen lassen.

Die Inhalte sind sauber recherchiert, Probleme werden im grellen Scheinwerferlicht beleuchtet, und Lösungen angeboten, die keinen 0-8-15-Rezepten entsprechen, sondern das Für und Wider einer jeden Lösung abwegen.

Damit folgen die beiden Autoren konsequent dem Leitspruch von Sicherheitsexperte Bruce Schneier: Security is a process, not a product. In diesem Sinne eignet sich das Buch auch als Nachschlagewerk.