PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren [Broschiert]

Absolute Sicherheit gibt es nicht. Aber bekannte Fehler lassen sich vermeiden. Diese Grundregel gilt auch für PHP -- Paranoia hilft nicht weiter, aber Nachlässigkeit ist Selbstverschulden -- Christopher Kunz und Stefan Esser schließen nun mit der 3., überarbeiteten Auflage ihres PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren für viele engagierte PHP-Programmierer eine Wissenslücke auf dem neusten Stand und zeigen praktisch und leicht umsetzbar, wie sich PHP-basierte Webanwendungen gezielt absichern lassen, woher Gefahren drohen und welche Regeln zu beachten sind.

"Ein System kann als sicher gelten, wenn die Kosten für einen erfolgreichen Angriff den möglichen Nutzen übersteigen."

Für viele Hobby- aber auch Profi-Webentwickler stand und steht bei PHP die einfache Umsetzung bei gleichzeitig ungeschlagener Leistungsfähigkeit im Vordergrund. Fragen zur Sicherheit ergaben sich erst im Laufe der Zeit, vor allem durch die große Verbreitung. Wie nun also "nachträglich" Sicherheit "einbauen"? Was kann denn eigentlich passieren? Und was gilt es bei zukünftigen PHP/MySQL-Projekten zu beachten?

Kunz und Esser bieten Einstieg, Übersicht und konkrete Lösungen und richten sich damit sowohl an Entwickler und Administratoren, die nachträglich bestehende PHP-Projekte sicherheitsrelevant überarbeiteten als auch an Programmierer, die neue Anwendungen vorneweg "härten" wollen. Dabei setzen sie für PHP/MySQL relevante Administratorenkenntnisse und natürlich praktisches Wissen rund um datenbankbasierte PHP-Anwendungen voraus.

Die Themen umfassen nach einer Einleitung zu Begriffen, Quellen und Hintergründen etwa die Informationsgewinnung, Parametermanipulation, Cross-Site Scripting, SQL-Injection, Sessions und PHP-Hardening. Die Kapitel beginnen meist mit einer Starterklärung, es folgen Beispiele, Lösungen und am Ende ein Fazit. Im Anhang dann noch eine Checkliste, eine Liste aller Schwachstellen mit Gefahrenpotenzial-Bewertung sowie ein Glossar und ein Stichwortverzeichnis.

Kunz und Esser zitieren in PHP-Sicherheit PHP/MySQL-Webanwendungen sicher programmieren Security-Guru Bruce Schneier mit den Worten "Security is a process, not a product." -- das Motto passt auf ihr Buch wie gegossen, denn sie vermitteln Sicherheit nicht als Hindernis oder Erschwernis, sondern als Teil des PHP-Datenbank-Ganzen. Ein "Must-have" für alle PHP-Programmierer, die sich und ihre Arbeit ernst nehmen. --Wolfgang Treß

"Dieses Buch zeichnet sich insbesondere durch eine gute Verständlichkeit aus und sollte zur Pflichtlektüre eines jeden ernsthaften Programmieres gehören." -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels.

"Nachvollziehbar, mit Codebeispielen versehen und bequem zu lesen: Dieser Titel bietet eine gründliche Abhandlung, die jeder gelesen haben sollte, bevor er PHP-Skripte auf öffentlichen Webservern installiert. Selbst erfahrene PHP-Programmierer finden hier noch wertvolle Hinweise und konkrete Lösungen. ... macht dieses Buch selbst für Admins wertvoll, die selbst gar kein PHP programmieren. " -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels.

Anhand von zahlreichen Beispielen lernen Sie in diesem Buch, welchen Gefahren PHP-Webanwendungen ausgesetzt sind, etwa SQL-Injection, Cross Site Scripting oder Angriffe gegen Sessions. Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B. die sichere Konfiguration von PHP oder das Filtern von Angriffen mit mod_security. "Best Practices" und eine Checkliste im Anhang helfen zudem, schnell in die Fehlersuche einzusteigen, sowohl bei neu konzipierten als auch bei bereits fertig gestellten Programmen. Diese Neuauflage wurde komplett durchgesehen und aktualisiert.

PHP gilt mittlerweile als die beliebteste Skriptsprache für Webanwendungen. Leider werden Sicherheitsaspekte bei der PHP-Entwicklung oft vernachlässigt. Dies führt leicht zu massiven Sicherheitsproblemen und ist dann für kompromittierte Server und verunstaltete Webseiten verantwortlich. Wie man solche Risiken erkennen und abwehren kann, zeigt dieses Buch.

An nachvollziehbaren Beispielen lernen die Leser alle wichtigen Gefahren kennen, u.a.:

- SQL-Injection - Cross-Site Scripting - Angriffe gegen Sessions - Angriffe auf Upload-Formulare - Cross-Site Request Forgery - HTTP Response Splitting

Darauf aufbauend vermitteln die Autoren effiziente Vorbeugungs- und Gegenmaßnahmen, z.B.: - Sichere Konfiguration von PHP - Filterung mit mod_security - Richtige Überprüfung von Variablen - Blacklist-/Whitelist-Prüfungen - Prepared Statements / Stored Procedures - Captchas

Die Leser lernen, welche Fehler sie bei der Umsetzung ihrer Ideen in PHP vermeiden sollten. Außerdem können sie anhand der im Buch genannten "Best Practices" ihren eigenen Programmierstil kritisch überprüfen und schnell in die Fehlersuche einsteigen. Die Checkliste im Anhang bietet eine Anleitung für Code Audits und für die Absicherung von Projekten, sowohl bei neu konzipierten als auch bei bereits fertig gestellten Programmen.

Vorausgesetzt werden Erfahrungen mit datenbankbasierten PHP-Anwendungen sowie grundlegende Kenntnisse in der Administration von Unix- bzw. Windows-Systemen. -- Dieser Text bezieht sich auf eine vergriffene oder nicht verfügbare Ausgabe dieses Titels.

Christopher Kunz ist Mitinhaber der Filoo GmbH, die Hosting, Housing und Consulting anbietet. Er hat bereits mehrere Dutzend Artikel über allerlei PHP-Themen verfasst und war als Referent auf mehreren PHP-Konferenzen zu sehen. Christopher Kunz lebt in Hannover und arbeitet dort nach seinem Studium an einer Promotion im Fach Informatik. Stefan Esser ist Gründer und Sicherheitsberater der SektionEins GmbH aus Köln, die sich ausschließlich mit der Sicherheit von Webapplikation befasst. Er ist bekannt für zahlreiche Advisories zur Sicherheit von weitverbreiteter Software wie Linux, Samba, Subversion, MySQL und PHP. Stefan Esser ist seit 2002 an der Entwicklung von PHP beteiligt und ist auch der Autor der PHP-Sicherheitserweiterung Suhosin. Nebenbei schreibt er Artikel über PHP-Sicherheit für das PHP-Magazin und PHP Architect.