新書推薦:
《
中国财富管理发展指数(2022)
》
售價:NT$
325.0
《
嫉妒与社会
》
售價:NT$
459.0
《
希腊神话和仪式中的结构与历史
》
售價:NT$
437.0
《
世界花纹与图案大典
》
售價:NT$
1669.0
《
周制与秦制
》
售價:NT$
717.0
《
花路
》
售價:NT$
493.0
《
万亿指数
》
售價:NT$
493.0
《
中世纪英国的财政、军事与外交(中外文明传承与交流研究书系)
》
售價:NT$
437.0
|
| 編輯推薦: |
|
每一名开发人员都需要制订相关的决策,包括代码的类型和代码的质量,并判断下一行代码是否更加安全、具有弹性、更加坚固,否则将很难避免遭受攻击的命运。在将代码发布至GitHub之前,我们应仔细考虑这些问题。这些决策将优秀的开发人员与一般人员区分开来。
|
| 內容簡介: |
|
《编写安全的移动应用程序—基于PHP和JavaScript技术》详细阐述了与编写安全的移动应用程序相关的基本解决方案,主要包括Web应用程序攻击界面,PHP安全反模式,PHP基本安全,PHP安全工具概览,基于UTF-8的PHP和MySQL,项目布局模板,关注点分离,PHP和PDO,模板策略模式,现代PHP加密技术,异常和错误处理,安全的会话管理,安全的会话存储,安全的表单和账户注册,安全的客户端服务器表单验证,安全的文件上传机制,安全的JSON请求,Google Maps、YouTube和jQuery Mobile,Twitter身份验证和SSL cURL,安全的AJAX购物车,常见的Facebook漏洞点等内容。此外,本书还提供了相应的示例,以帮助读者进一步理解相关方案的实现过程。 本书适合作为高等院校计算机及相关专业的教材和教学参考书,也可作为相关开发人员的自学用书和参考手册。
|
| 關於作者: |
|
J.D. Glaser是一名具有开创性的研发人员,主要负责Windows安全软件的开发,并多次在全球安全事务会议上发言。他曾为政府机构提供安全方面的培训,美国司法部曾采用他的工具抓捕网络罪犯。J.D. Glaser目前专注于用PHP开发大型社交游戏,并确保玩家在网络空间的安全。
|
| 目錄:
|
目 录
第1部分
第1章 概述
1.1 理解安全的Web开发
1.1.1 适用读者
1.1.2 本书未涉及的内容
1.1.3 背景知识
1.1.4 安全工具
1.1.5 在项目间创建一致性的可复用代码
1.2 基于HTML5、AJAX和jQuery Mobile的移动应用程序
1.3 移动应用程序—社交混搭
1.3.1 客户端技术
1.3.2 客户端应用程序布局
1.3.3 服务器应用程序
1.4 安全措施的演变
1.4.1 SQL注入和CSRF
1.4.2 输出上下文攻击
1.4.3 HTML5新技术
1.4.4 实践与漏洞
1.4.5 安全扩展插件
1.4.6 信息缺失
1.4.7 一致性缺失
1.5 Web应用程序安全的新思路
第2章 Web应用程序攻击界面
2.1 攻击途径
2.2 常见威胁
2.2.1 SQL注入
2.2.2 跨站点脚本
2.2.3 跨站点请求伪造
2.2.4 会话劫持
2.3 保护输入和输出流
2.3.1 GET请求
2.3.2 POST请求
2.3.3 Cookie数据
2.3.4 会话固定
2.3.5 跨站点请求伪造
2.4 输入过滤和输出转义的理论知识
2.4.1 输入验证
2.4.2 输入过滤
2.4.3 输出转义
2.4.4 数据的显示位置
2.5 OWASP XSS Prevention Rules
第3章 PHP安全反模式
3.1 反模式
3.2 不使用内容安全策略反模式进行设计
3.3 单一尺寸适合所有的反模式
3.4 错误的反模式
3.4.1 经验式反模式
3.4.2 关键数据类型的理解和分析
3.4.3 单一数据类型反模式
3.5 全部输入的HTTP数据均为字符串
3.5.1 类型验证
3.5.2 输入内容与输出内容相同
3.5.3 假定的“干净”数据
3.5.4 mysql_real_escape_string()的错误使用方式
3.5.5 过滤、转义和编码
3.5.6 单一输出上下文
3.5.7 缺乏规划
3.5.8 一致性缺失
3.5.9 缺少应有的测试
3.5.10 参数遗漏
3.6 设计实践
3.6.1 HTML和PHP代码的分离
3.6.2 过多的数据库函数调用
3.6.3 错误的过滤机制
3.6.4 过多的引号
3.6.5 原始请求变量作为应用程序变量
3.6.6 直接URL输入
3.6.7 错误管理操作
3.6.8 加密操作
3.6.9 Cookie过期
3.6.10 会话管理
3.7 消除反模式:模式、测试、自动化
第4章 PHP基本安全
4.1 一致的UTF-8字符集
4.1.1 数据库中的UTF-8
4.1.2 PHP应用程序中的UTF-8
4.1.3 客户浏览器中的UTF-8
4.2 清理安全数据
4.2.1 输入验证—尺寸和类型
4.2.2 转义输出—考查上下文
4.2.3 数据库访问模式
4.2.4 应用程序秘密位置模式
4.2.5 错误处理模式
4.2.6 错误的日志处理模式
4.2.7 身份验证
4.2.8 授权模式
4.2.9 可接受的白名单输入
4.3 实践方案小结
4.3.1 架构应用程序字符集
4.3.2 架构HTTP请求模式
4.3.3 架构HTTP Cookie应用
4.3.4 架构输入验证
4.3.5 架构输出转义
4.3.6 架构会话管理
4.3.7 保护机密文件/保护包含的文件
4.3.8 保护用户密码
4.3.9 保护用户会话数据
4.3.10 防护CSRF攻击
4.3.11 防护SQL注入攻击
4.3.12 防护XSS攻击
4.3.13 防护文件系统攻击
4.3.14 相应的错误管理机制
4.4 PHP的OWASP推荐方案
4.4.1 检查表
4.4.2 附加的PHP安全检查表
4.4.3 禁用危险的PHP函数
第5章 PHP安全工具概览
5.1 对象语言
5.1.1 抽象类、接口、外观、模板、策略、工厂和访问者
5.1.2 DRY
5.2 本地函数支持
5.2.1 编码函数
5.2.2 DRY强制函数
5.2.3 类型强制函数
5.2.4 过滤器函数
5.2.5 移动函数
5.2.6 加密和哈希函数
5.2.7 现代加密
5.2.8 现代哈希方法
5.2.9 现代salt机制和随机机制
5.2.10 HTML模板支持
5.2.11 内联定界符函数
5.3 实践方案
5.3.1 尽可能使用整数值
5.3.2 使用类型强制
5.3.3 强制字符串大小和数字范围
5.3.4 在过滤前剪裁字符串
5.3.5 保持较小的字符串
5.3.6 要避免的问题
5.4 PDO预处理语句
5.5 弃用的安全函数
第6章 基于UTF-8的PHP和MySQL
6.1 UTF-8
6.1.1 UTF-8的优缺点
6.1.2 UTF-8的安全性
6.2 完整的PHP UTF-8设置
6.2.1 UTF-8 MySQL数据库和表创建
6.2.2 UTF-8 PDO客户端连接
6.2.3 手动UTF-8 PDO/MySQL连接
6.2.4 PHP UTF-8初始化和安装
6.3 UTF-8浏览器设置
6.3.1 头设置
6.3.2 元标签设置
6.3.3 表单设置
6.4 PHP UTF-8多字节函数
6.4.1 UTF-8输入验证函数
6.4.2 UTF-8字符串函数
6.4.3 UTF-8输出函数
6.4.4 UTF-8邮件
6.5 PHPUnit测试中的UTF-8配置
6.5.1 测试PHP内部编码
6.5.2 测试PHP输出编码
6.5.3 断言UTF-8配置的PHPUnit Test类
第7章 项目布局模板
7.1 应用程序中的相似性
7.1.1 项目布局应采用一致性方式进行处理
7.1.2 选择查询封装器
7.1.3 HTML静态资源的分离
7.2 完整的注释文件
第8章 关注点分离
8.1 什么是关注点分离
8.2 保持HTML为HTML
8.3 令PHP远离HTML
8.4 令JavaScript远离HTML
8.5 内容安全性策略
8.6 HTML中的ID和类
8.7 小结
第9章 PHP和PDO
9.1 PDO UTF-8连接
9.2 MySQL UTF-8和表创建
9.3 PDO预处理语句
9.3.1 PDO命名参数示例
9.3.2 PDO未命名参数示例
9.3.3 PDO类对象示例
9.4 选择数据并置入HTML和URL上下文
9.5 引用值和数据库类型转换
9.5.1 PDO手工引用示例
9.5.2 PDO和WHERE IN语句
9.6 白名单机制和PDO列名引用
9.7 小结
第10章 模板策略模式
10.1 模板模式强制执行流程
10.1.1 账户注册模板
10.1.2 账户注册模板—激活
10.2 输出转义的策略模式
10.2.1 转义策略类
10.2.2 改进的转义策略类
10.3 Cleaner类
10.3.1 测试Cleaner类
10.3.2 Cleaner::getKey()验证应用示例
第11章 现代PHP加密技术
11.1 使用MCrypt进行双向加密
11.2 利用Blowfish加密哈希密码
第12章 异常和错误处理
12.1 配置PHP错误环境
12.1.1 安全的php.ini和错误日志文件
12.1.2 错误选项简介
12.1.3 生产环境下的php.ini错误配置
12.1.4 开发环境下的php.ini错误配置
12.1.5 PHP错误级别常量
12.2 异常处理机制
12.3 捕获所有错误和异常
12.3.1 将错误转换为异常
12.3.2 错误处理函数的规范
12.3.3 处理程序的返回值
12.4 ErrorManager类
12.5 利用register_shutdown_function()处理致命错误
第2部分
第13章 安全的会话管理
13.1 SSL登录页面
13.1.1 安全会话管理简介
13.1.2 安全会话管理检查表
13.1.3 检查表的详细内容
13.1.4 设置配置内容
13.1.5 监控会话篡改
13.1.6 检测用户代理的更改—篡改防护的实践方案
13.2 通过SSL强制页面请求
13.2.1 SSL重定向
13.2.2 协议相关链接
第14章 安全的会话存储
14.1 PHP默认会话存储
14.1.1 会话存储的生命周期
14.1.2 会话锁
14.1.3 AJAX和会话锁
14.2 会话管理配置
14.2.1 在session_start()调用前配置安全项
14.2.2 正确地销毁会话
14.3 加密会话存储
14.3.1 通过MySQL加密会话存储
14.3.2 在MySQL中创建自定义会话处理程序
14.3.3 SecureSessionPDO类
14.3.4 评论和决策时间
14.3.5 类成员函数的细节内容
14.3.6 通过文件系统加密会话存储
14.3.7 SecureSessionFile类
14.3.8 SecureSessionFile类的细节内容
第15章 安全的表单和账户注册
15.1 安全的用户注册和登录处理
15.2 SSL上的安全表单登录页面
15.3 安全的表单nonce—防止CSRF
15.4 NonceTracker类
15.4.1 NonceTracker类的详细信息
15.4.2 NonceTracker类的具体解释
15.5 表单输入验证
15.5.1 注册表单
15.5.2 注册表单的细节内容
15.5.3 用户密码的双重加密
15.6 账户管理类
15.6.1 AccountManager类细节内容和授权检测
15.6.2 电子邮件验证和激活系统
15.6.3 基于Blowfish轮数的加密强度
15.6.4 安全的密码请求链接
15.6.5 权限提升后的重新授权
15.7 SessionManager类
15.7.1 SessionManagement类的详细内容
15.7.2 基于essionManager的安全注销
15.8 权限提升保护系统
15.9 安全的登录
15.9.1 安全的登录表单
15.9.2 安全的登录表单细节
15.10 通过身份验证保护页面
15.11 安全的注销页面
15.12 安全的RememberMe特性
第16章 安全的客户端服务器表单验证
16.1 PHP UTF-8输入验证
16.1.1 服务器UTF-8验证
16.1.2 通过RegEx验证UTF-8名称和电子邮件
16.1.3 电子邮件地址的清除工作
16.2 PREG
16.2.1 服务器端的正则表达式
16.2.2 基于正则表达式的JavaScript验证
16.2.3 基于正则表达式的jQuery验证
16.3 jQuery密码强度计
16.4 JavaScript和jQuery转义和过滤
16.4.1 利用innerText替换innerHTML
16.4.2 嵌入式HTML超链接—innerHTML中的问题
16.4.3 不安全的JavaScript函数
16.5 防止双重表单提交
16.5.1 表单处理的Post-Redirect-Get模式
16.5.2 PRG模式
16.5.3 PRG指令
16.5.4 跟踪表单标记以防止重复提交
16.6 控制表单页面缓存和页面过期
16.6.1 主缓存-控制设置
16.6.2 微软IE扩展
16.6.3 AJAX GET请求的时间戳机制
16.6.4 构建安全的GET请求URL
第17章 安全的文件上传机制
17.1 基本原则
17.2 基于数据库的安全的文件上传机制
第18章 安全的JSON请求
18.1 构建安全的JSON响应
18.1.1 正确和错误的JSON
18.1.2 正确的JSON结构依赖于数组结构
18.1.3 利用PDO记录构造安全的数组
18.2 在PHP中发送和接收JSON
18.2.1 从PHP发送JSON
18.2.2 在PHP中接收JSON
18.3 利用JavaScript/jQuery安全地解析JSON
18.3.1 jQuery JSON调用
18.3.2 POST和解析JSON响应示例
第3部分
第19章 Google Maps、YouTube和jQuery Mobile
19.1 代码构建
19.2 在Google Map InfoWindows中设置视频
19.3 生成InfoWindow Marker
19.3.1 HTML和jQuery Mobile布局
19.3.2 关注点分离
19.3.3 HTML片段描述
19.3.4 YouTube元素描述
19.3.5 JavaScript文件:gmap.js
19.3.6 基于可播放视频的InfoWindow Marker
19.4 Map Marker数据库表
19.5 数据库类GMapData
19.5.1 处理标记
19.5.2 生成标记
19.5.3 插入和更新标记
19.6 准备安全的JSON数据
第20章 Twitter身份验证和SSL cURL
20.1 基于PHP的Twitter
20.2 TweetFetcher类
20.3 通过TweetFetcher读取tweet
20.3.1 获取Twitter oAuth令牌
20.3.2 针对cURL设置SSL身份验证
20.3.3 从时间轴上检索的tweet
20.3.4 创建和过滤纯文本中的超链接
20.4 过滤不良的tweet
20.5 使用TweetFetcher
第21章 安全的AJAX购物车
21.1 移动商店
21.1.1 向购物车中添加商品
21.1.2 从购物车中移除商品
21.2 利用PayPal购物
21.2.1 开始PayPal事务
21.2.2 安全地向PayPal付款
21.2.3 完成PayPal购买行为
21.3 小结
第22章 常见的Facebook漏洞点
22.1 通过PDO保存Facebook实时更新
22.2 反射JSON坐标
22.3 反射消息
22.4 反射URL
22.5 JavaScript和jQuery过滤器
22.6 JSONP预防措施
参考文献
附录
在线资源
理解编码器背后的正则表达式
根据的安全警告检查HTML头
支持网站
推荐读物
|
| 內容試閱:
|
前 言
我是在乡下长大的,我们从来不锁房门或车门。在学校里,没有人会擅自打开别人的车或储物柜。如果你把一件东西放在某处,相信我,当你回来时,这件东西还会在那里。家人在进入我的房间时都不需要敲门,而且外人从不会擅自闯入我的家门。现在情况已经发生了很大的变化。虽然我的房子和汽车都已经锁上了,但我生活的一扇“虚拟”的窗户,以及一扇我甚至不知道其存在的地下室门,都是打开的,并受到了互联网的攻击。另外,家人在进屋前需要多次敲门,而陌生人甚至会以匿名的方式闯入我的领地。
我需要安全感,所以会以快的速度研发出棒的产品,这是一个有趣的行业。出于行业需要,安全问题已成为一项优先考虑的因素。如果一些数位或字节终对您的应用程序提供了保护,那么我们就赢得了这场胜利。同时,我也衷心地希望读者喜欢本书。
示例代码环境
Web服务器上的有效SSL证书是本书代码示例正常运行的必要条件。
致谢
我要感谢那些帮助我完成这本书的人。首先是Shreeraj Shah,他开启了那扇门。其次是编辑Rich O’hanley,他对这一项目充满了信任,并把终的机会留给了我。同样在CRC出版社工作的还有Amy Rodriguez和编辑人员,他们对稿件中的许多错误提出了中肯的意见。这里还要感谢“伟大”的Rex,他甚至查出了我漏掉的所有细节内容。另外,还应感谢我的好朋友Jussi Jaakonaho,他总是不断地鼓励我,并把我介绍给Evernote。
我还要感谢Jeff Williams, 他是Aspect Security的CEO和OWASP的贡献者,同时也对这一项目充满了信心。Jeff Williams在一些主题上提供了重要的观点,并慷慨地贡献出了OWASP方面的技术内容。同时还要感谢Tim Keanini和Jeremiah Grossman对这一项目的大力支持,他们对网络安全问题持有独到的见解,我便是受益者之一。这里也特别感谢我的家人,包括我的父亲、母亲、妻子、儿子、弟弟和厨师,非常感谢你们!
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
