paeonia: MySQL und Sicherheit im Netz: Eure Meinung zu diesem Buch

Hallo da draußen,

habt Ihre eine Meinung zu diesem Buch? Wie aktuell ist es? Lohnt es?
"Sichere Webanwendungen mit PHP. Sicherheit mit PHP, MySQL, Apache, JavaScript, AJAX" (Broschiert)
von Tobias Wassermann
ISBN-13: 978-3826617546; Preis 34,95

Mein Hintergrundwissen:

  • Datenbanken: ja als komplexe Desktopanwendung
  • Apache: soviel wie man zum Testen als Localhost braucht -> wenig
  • MySQL: wenig
  • PHP: wenig
  • HTML: ja
  • CSS: ja

Ich werde wohl in Zukunft meine komplexe Desktopanwendung als Web-Anwendung neu entwickeln müssen/dürfen und möchte von Anfang an ein vernünftiges Sicherheitskonzept entwickeln. Dafür soll dieses Buch Einstieg und Grundlage sein.

Danke schon mal für Eure Antworten sagt Paeonia

  1. echo $begrüßung;

    habt Ihre eine Meinung zu diesem Buch? Wie aktuell ist es? Lohnt es?

    Keine Ahnung, ich kenne es nicht. Bei Amazon gibt es auch nur das einleitende Kapitel zu lesen. Der Klappentext sagt jedoch 1. Auflage 2007, was auf eine gewisse Aktualität hindeutet.

    Ich werde wohl in Zukunft meine komplexe Desktopanwendung als Web-Anwendung neu entwickeln müssen/dürfen und möchte von Anfang an ein vernünftiges Sicherheitskonzept entwickeln.

    Die Sicherheit von Desktopanwendungen im Hinblick auf den Umgang mit Datenbanken unterscheidet sich im Prinzip nicht von Desktopanwendungen. Eingabewerte müssen stets geprüft und kontextgerecht behandelt werden.

    echo "$verabschiedung $name";

    1. Die Sicherheit von Desktopanwendungen im Hinblick auf den Umgang mit Datenbanken unterscheidet sich im Prinzip nicht von Desktopanwendungen. Eingabewerte müssen stets geprüft und kontextgerecht behandelt werden.

      Das ist richtig für die Eingabewerte, die ich auf dem Desktop erwarte. Aber bei einer Webanwendung muß ich doch mit Einbruchversuchen von außen rechnen, die ich möglichst schon bei der Konzeption der ganzen Anwendung verhindern möchte.

      Gruß von Paeonia

      1. Moin!

        Das ist richtig für die Eingabewerte, die ich auf dem Desktop erwarte. Aber bei einer Webanwendung muß ich doch mit Einbruchversuchen von außen rechnen, die ich möglichst schon bei der Konzeption der ganzen Anwendung verhindern möchte.

        Klar mußt du mit den Versuchen rechnen - aber du kannst nun mal nicht verhindern, dass jemand es versucht.

        Du kannst aber verhindern, dass der Versuch zum Erfolg führt. Und eine Strategie dabei ist die peinlich genaue Prüfung von Eingabedaten.

        - Sven Rautenberg

        --
        "Love your nation - respect the others."
      2. echo $begrüßung;

        Die Sicherheit von Desktopanwendungen im Hinblick auf den Umgang mit Datenbanken unterscheidet sich im Prinzip nicht von Desktopanwendungen. Eingabewerte müssen stets geprüft und kontextgerecht behandelt werden.

        Das Wort am Ende des ersten Satzes sollte Web-Anwendungen heißen.

        Das ist richtig für die Eingabewerte, die ich auf dem Desktop erwarte. Aber bei einer Webanwendung muß ich doch mit Einbruchversuchen von außen rechnen, die ich möglichst schon bei der Konzeption der ganzen Anwendung verhindern möchte.

        Es gibt viele Arten von Einbruchsversuchen. Da reicht dir ein Buch über PHP und sein Umfeld allein nicht. Laut Titel will ja auch nur die Webanwendung an sich beleuchten. Wenn es sich nicht gerade um eien Sicherheitslücke in PHP selbst handelt, wirst du hauptsächlich deine Anwendung gegen Falscheingaben und SQL-Injections, XSS und dergleichen schützen müssen. Und das basiert auf den beiden Prinzipien Eingabewerte prüfen und Ausgaben kontextgerecht behandeln. Das gestaltet sich jedoch für viele schwierig, weil sie die typischen Kontexte und wann Daten von einem in einen anderen wechseln nicht (er)kennen.

        Als Einstieg eignet sich übrigens auch der Heise-Artikel zur Grundsicherung von PHP-Anwendungen.

        echo "$verabschiedung $name";

  2. Hallo,

    ich besitze dieses Buch ebenfalls. Aus Zeitgründen konnte ich bisher nur bis zur Hälfte lesen, aber ich würde das Buch auf jeden Fall als qualitativ hochwertig und aktuell bezeichnen, da viele Hinweise wirklich zeigen, wie leicht man PHP-Script missbrauchen kann, zB beim Hochladen von manipulierten Grafiken, da man auch oft den technischen Hintergrund erfährt, wie der PHP-Interpreter arbeitet und was dabei die Schwachstellen sind.
    Ich hatte von PHP auch nur wenig Ahnung, da ich immer der "Perl"er war, ich mich aber doch dazu entschloss, nun auf PHP umzusteigen, da es seit PHP5 eigentlich eine ganz feine Sache ist. Bei einer von mir neu erstellten Webanwendung von jemanden schlug ich somit gleich 2 Fliegen mit einer Klappe. Ich lernte schnell mal auf PHP um, was sehr einfach ist, wenn man von Perl kommt, und das auch noch mit der Einbeziehung der in diesem Buch vermittelten Sicherheitskonzepte.
    Ich bezweifle auch, dass die viele PHP-Entwickler über so manche Gefahren, die in diesem Buch beschrieben werden, bescheid wissen.

    Markus

    --
  3. Daß das Prüfen der Eingaben wichtig ist, habe ich jetzt verstanden und hoffe, daß ich in dem Buch Anweisungen finde, wie ich das anstelle.

    Grüße von Paeonia