Комментарии 19
Отличная статья, спасибо!
Пожалуй PHP в названии статьи лишнее — почти всё описанное применимо и там, где нет никакого PHP.
На GitHub выложить не планируете?
«Полный конец обеда» любил говорить один полный человечек из Ехо
ssl.verify_peer в поддерживаемых версия PHP (5.6+) уже по-умолчанию true, и это здорово, ибо очень не многие указывали этот параметр явно
К сожалению, это никакая не книга. Этак и я буду песатель, плодовитый автор бестселлеров.
Отличие книги от этой самодеятельности состоит в том, что у книги всегда есть редактор. И даже не один. Задача которого не пропустить в печать откровенную лажу.
В данном же случае мы имеем по сути стену лифта. Кто хочет — тот и самовыражается. О достоверности сведений можно лишь догадываться.
Обычно такого рода опусы можно разделить условно на две части:
- начинают все с абстрактных рассуждений, состоящих из общих мест, с которыми спорить трудно, но и практической пользы никакой извлечь нельзя;
- когда же автор переходит к практическим рекомендациям, пытаясь реализовать в коде многочисленные и зачастую противоречашие друг другу рекомендации из теоретической части, чтение становится чревато появлением синяков на лбу и ладони.
С нетерпением жду перевод раздела про инъекции, который с большим удовольствием прокомментирую.
На мой взгляд эта книга предназначена точно не для экспертов, а скорее для начинающих.
Для которых эти абстрактные советы и подобные примеры, собранные в одном месте, могут быть весьма полезны.
Но каждый имеет право на своё мнение:)
В целом, если не нравится, то никто не заставляет читать.
С нетерпением буду ждать комментариев про следующие части, но пожалуйста побольше конкретики. С примерами и пояснениями, почему так делать не надо:)
Для которых эти абстрактные советы и подобные примеры, собранные в одном месте, могут быть весьма полезны.
Но каждый имеет право на своё мнение:)
В целом, если не нравится, то никто не заставляет читать.
С нетерпением буду ждать комментариев про следующие части, но пожалуйста побольше конкретики. С примерами и пояснениями, почему так делать не надо:)
Интересно почитать про оверхэд, который создает многослойная защита и проверки, и как достигается баланс производительности при строительстве максимально защищенных приложений.
Хорошая идея.
После завершения перевода постараюсь провести тесты производительности при использовании методов защиты, описанных в книге.
По моему опыту, приложение всегда должно быть безопасно. Если не хватает производительности, значит нужно пересматривать архитектуру и проводить рефакторинг. Достаточно редко приходилось увеличивать мощности или масштабироваться для наших задач.
После завершения перевода постараюсь провести тесты производительности при использовании методов защиты, описанных в книге.
По моему опыту, приложение всегда должно быть безопасно. Если не хватает производительности, значит нужно пересматривать архитектуру и проводить рефакторинг. Достаточно редко приходилось увеличивать мощности или масштабироваться для наших задач.
<scr<script>ipt>alert(document.cookie);</scr<script>ipt>
стандартный strip_tags это давно умеет
Часть 2 вообще планируется?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Книга «Как пережить полный конец обеда, или безопасность в PHP». Часть 1