한빛출판네트워크

당신의 PHP 코드에는 보안이 고려되어 있습니까?

IT 오늘날 가장 인기있는 웹 개발 도구인 PHP로 많은 웹 사이트들이 개발됨에 따라 필연적으로 보안의 문제가 대두되었다. 개발자는 끊임없이 이어지는 악의적인 공격에 대비해야 한다. 이 책은 PHP 보안 분야에서 국제적으로 알려진 전문가 크리스 쉬플릿의 안전한 코딩을 위한 몇 가지 규칙을 담고 있으며, 가장 일반적인 공격 유형과 이들 공격을 막을 수 있는 코드를 작성하는 방법을 설명하고 있다. PHP로 작성한 응용프로그램의 보안 문제는 대부분의 경우 PHP 자체의 보안 문제가 아닌, 응용프로그램을 작성한 개발자의 안전하지 못한 코딩 습관에서 기인한다는 점을 감안한다면 이 책은 PHP 개발자에게 많은 도움을 줄 것이다.

주요내용

이 책의 각 장은 웹 응용프로그램의 각 부분(폼 처리, 데이터베이스 프로그래밍, 세션 관리, 그리고 인증)들을 다루고 있으며 각 장에서는 가능한 공격들의 예제를 제공하고, 이들 공격을 막기 위한 방법들을 설명하고 있다.

• 크로스 사이트 스크립팅(XSS) 취약점 방어
• URL 공격 방어
• 파일 업로드 공격 방어
• SQL 삽입 공격 방어
• 세션 고정 공격 방어
• 세션 하이재킹 시도 무력화
• 백도어 URL 및 코드 삽입 공격 방어
• 파일 시스템 탐색 및 명령 삽입 공격 방어
• 무차별 공격 및 리플레이 공격 방어
• 세션 삽입 공격 방어

추천평

이 크리스 시플릿(Chris Shiflett), 그만이 만들 수 있는 절대 명품이라 믿는다. PHP 보안에 관한 한 그의 경험, 그리고 정확하면서도 읽기 쉬운 문체로 작성된 이 책과 견줄만한 것은 없을 것이다. 이 책은 두고두고 참고해야 할 레퍼런스이며, 내가 일하는 직장의 모든 PHP 개발자들이 반드시 읽어야 할 책이다.
-Davey Shafik

이것은 PHP에만 적용되는 것이 아니라 모든 웹 응용프로그램의 보안에 적용되는 것이다. 내 부서의 모든 사람들에게 이 책을 읽게 할 것이며, 다른 회사에서 PHP로 웹 응용프로그램을 개발하는 동료들에게도 적극 추천할 것이다.
-Robert Peake

PHP 응용프로그램에 안전하지 못한 코드를 사용한 탓에 최근에 수 많은 공격을 받았다. 이 책은 내게 필요한 바로 그 책이었다. 이 책은 간결한 언어로 시간낭비 없이, 본질을 흐리지 않고 명확하게 지적하고 있다. 적용할 것과 하지 말아야 할 것을 독자들에게 분명하게 설명한다. 공격이 어떻게 수행되는지 설명하고, 이를 막기 위한 방법에 대한 코드 예제들을 보여준다. PHP 프로그래밍을 시작하는 개발자들에게 일독을 권한다.
- Palisade Security Team

이 책의 가장 큰 장점은 모든 보안 공격과 PHP 코드의 취약점을 모으고, 거기에 해결책까지 제시하고 있는 집합체라는 점이다.
- John Suda