"PHP-Sicherheit" von Christopher Kunz und Peter Prochaska
Das Web... unendliche Weiten – und unendlich Gefahren. Diese bestehen nicht nur auf Benutzerseite auch Programmierer von Webapplikationen müssen sich mit der Sicherheitsmaterie auseinandersetzen und über Themen wie SQL-Injections, Cross-Site-Scripting, Session-Hijacking Gedanken machen. Wer Webentwickler ist und mit einem dieser Begriffe nichts anfangen kann, der möge sich dieses Review durchlesen und anschließend das Buch zulegen – und am besten das passende “Schwesterwerk” aus dem selben Hause auch noch.
Die Autoren des Buches sind in der Security Szene keine Unbekannten: Beide kennt man unter anderem aus dem ein oder anderen Artikel des PHP Magazins. Sie liefern mit diesem Buch ein gut geschriebenes Werk ab und wirken dabei immer sehr kompetent. Allerdings würde ich zum Einstieg in die Materie doch eher “Sicherheitsrisiko Web-Anwendung” empfehlen, da sich “PHP-Sicherheit” eher an Fortgeschrittene wendet: Viele der Begriffe und Themen werden nicht wirklich ausführlich erklärt, sondern eher vertieft.
Die Kapitelauflistung sieht so aus:
- Einleitung
- Informationsgewinnung
- Parametermanipulation
- Cross-Site-Scripting
- SQL-Injection
- Autorisierung und Authentisierung
- Sessions
- Upload Formulare
- PHP intern
- PHP -Hardening
- Apache-Hardening mit mod_security
Anhand dieser Liste sieht man, dass es (gerade in den letzten Kapiteln) schon ziemlich in die Tiefe und auch in Richtung Systemadministration geht. Im Endeffekt kann man zumindest die letzten 80 Seiten auch mal dem zuständigen Admin in die Hand drücken und als Programmierer kann man sich einen Überblick verschaffen, was es zum Beispiel bedeutet auf einem Server zu programmieren, auf dem Hardened PHPläuft. Ob diese Kapitel aber für jeden interessant sind bzw. ob der Leser die Motivation hat diese vielleicht nicht 100%ig passenden Kapitel zu lesen ist eine andere Sache.
Das Buch umfasst 277 Seiten, mit Stichwortverzeichnis und 4 Anhängen. Vor allem Anhang A “Checkliste für sichere Webapplikationen” ist wertvoll, auch wenn mir der Titel etwas zu boulevardesk ist.
Fazit
Bei meiner Entwicklung zu einem besseren Webentwickler hat mir das hier besprochene Buch gut geholfen. Da der Inhalt eigentlich Grundstoff ist (und für jeden Webentwickler sein sollte!) und auch als solcher von den Autoren gehandhabt wird, findet man natürlich nicht viel abgefahrenes und experimentelles in dem Buch. Aber die grundlegenden Präventionen die man in seine Anwendungen einbaut sind einfach zu realisieren und man entwickelt schnell ein Gefühl dafür, auch an die Sicherheit zu denken. Und daran liegt dann der eigentliche Spaß den man mit dem Buch haben kann: Es weckt die Kreativität in einem und man sucht sich selbst immer wieder neue Möglichkeiten, wo man denn in seiner Anwendung eine offene Stelle haben könnte und kümmert sich anschließend darum. Das macht einem zu einem besseren Programmierer und hilft uns bessere Anwendungen zu schreiben. Auch wenn dies erstmal mit etwas (vielleicht trockener) Theorie verbunden ist.
Finale Bewertung: 3,5 von 5 Punkte. Eines der wenigen Fachbücher, dass man auch nach einigen Monaten noch mal lesen kann und sollte.
Da es allerdings gerade im PHP Sicherheits Bereich noch nicht so viele deutsche Bücher gibt empfehle ich jedem und jeder der/die in die Materie einsteigen will den Doppelpack aus “Sicherheitsrisiko Webanwendung” (von Sverre H. Huseby) und anschließend das hier besprochene “PHP-Sicherheit”.
Trackback(s)
Ein Trackback ist eine Art Quellenangabe. Wenn ich also in einem anderen Blog einen interessanten Eintrag sehe und ihn in meinem Weblog mit einem Eintrag kommentiere, gebe ich mit dem Trackback einen Verweis auf die Originalmeldung an. Hat jemand in seinem/ihren Weblog einen meiner Einträge kommentiert, findet man dies auch hier unter Trackbacks. Nähere Informationen zum Thema Trackback gibt es z.B. bei der Wikipedia.
Trackback URL: /trackback/php-sicherheit-von-christopher-kunz-und-peter-prochaska-20060911-1/
