代码审计：企业级Web代码安全架构-作者: 尹毅-PDF电子书

作者: 尹毅

出版社: 机械工业出版社

副标题: 企业级Web代码安全架构

出版年: 2015-11-24

定价: 59.00

装帧: 平装  电子书

丛书: 信息安全技术丛书

ISBN: 9787111520061

内容介绍 ：

本书总共分为三个部分。第一部分为代码审计前的准备，包括第 1 章以及第 2 章，

第 1 章详细介绍我们在学习代码审计前需要了解的 PHP 核心配置文件以及 PHP 环境搭

建的方法，第 2 章介绍学习 PHP 代码审计需要准备的工具，以及这些工具的详细使用

方法。

第二部分包括第 3 ～ 8 章，着重介绍 PHP 代码审计中的漏洞挖掘思路与防范方法。

第 3 章详细介绍 PHP 代码审计的思路，包括根据关键字回溯参数、通读全文代码

以及根据功能点定向挖掘漏洞的三个思路。

第 4 ～ 6 章讲述常见漏洞的审计方法，分别对应基础篇、进阶篇以及深入篇，涵盖

SQL 注入漏洞、 XSS 漏洞、文件操作漏洞、代码 / 命令执行漏洞、变量覆盖漏洞以及

逻辑处理等漏洞。

第 7 章介绍二次漏洞的挖掘方法，二次漏洞在逻辑上比常规漏洞要复杂，所以我们

需要单独拿出来，以实例来进行介绍。

在经过前面几章的代码审计方法学习之后，相信大家已经能够挖掘不少有意思的

漏洞。第 8 章将会介绍代码审计中的更多小技巧，利用这些小技巧可以挖掘到更多有

意思的漏洞。每类漏洞都有多个配套的真实漏洞案例分析过程，有助于读者学习代码

审计的经验。不过，该章不仅介绍漏洞的挖掘方法，还详细介绍这些漏洞的修复方法，

对开发者来说，这是非常有用的一部分内容。

第三部分包括第 9 ～ 12 章，主要介绍 PHP 安全编程的规范，从攻击者的角度来告

诉你应该怎么写出更安全的代码，这也是本书的核心内容：让代码没有漏洞。第 9 章

主要介绍参数的安全过滤，所有的攻击都需要有输入，所以我们要阻止攻击，第一件

要做的事情就是对输入的参数进行过滤，该章详细分析 discuz 的过滤类，用实例说明

什么样的过滤更有效果。IX

第 10 章主要介绍 PHP 中常用的加密算法。目前 99% 以上的知名网站都被拖过库，

泄露了大量的用户数据，而这一章将详细说明使用什么样的加密算法能够帮助你增强

数据的安全性。

第 11 章涉及安全编程的核心内容。所有的应用都是一个个功能堆砌起来的，该章

从设计安全功能的角度出发，从攻击者的角度详细分析常见功能通常会出现的安全问

题，在分析出这些安全问题的利用方式后，再给出问题的解决方案。如果你是应用架

构师，这些内容能够帮助你在设计程序功能的时候避免这些安全问题。

第 12 章介绍应用安全体系建设的两种策略以及实现案例：横向细化和纵深策略，

企业的应用安全应把这两种策略深入到体系建设中去。

以上就是本书的全部内容，看到介绍之后你是不是有点儿兴奋呢？赶紧来边读边

试吧。