*文中代码字体版权说明

内容提要

本书主要面向PHP研发人员，详细讲解PHP项目漏洞的产生原理及防范措施，帮助研发人员在项目研发过程中规避风险。

全书共有10章。第1章讲述PHP项目安全问题的主要形成原因以及解决PHP项目安全问题的原则；第2章讲述PHP项目安全的基础，以使研发人员了解PHP语言自身的安全机制；第3章通过讲解PHP编码过程中需要注意的安全问题，帮助研发人员正确运用PHP函数及变量转换；第4章阐述常见的漏洞并给出了相应的处理方式，涉及SQL注入漏洞、XML注入漏洞、邮件安全、PHP组件安全、文件包含安全、系统命令注入等方面，帮助研发人员在项目初期即能有效防范漏洞问题；第5章讲述PHP与客户端交互过程中存在的安全隐患及解决方案，包括浏览器安全边界、客户端脚本攻击、伪造劫持等一系列和客户端相关的安全防护；第6章讲述在PHP项目中常用的加密方式及其应用场景；第7章讲述PHP项目安全的进阶知识，帮助研发人员在更高的角度防范风险；第8章从PHP业务逻辑安全的角度讲述每个业务场景的安全防范路径，以进一步提升研发人员在PHP项目实战中对安全问题的认识，并提高解决具体业务安全问题的能力；第9章讲述PHP的各种支撑软件的安全应用问题；第10章讲述如何建立有安全保障的企业研发体系。

对于PHP项目的安全问题，本书不仅进行了系统性的阐释，给出了体系化的安全问题解决之道，还通过丰富的小示例帮助读者在平常工作中得以见微知著，并能防微杜渐，增强安全意识，提高安全警惕，不放过任何威胁到项目安全的“细枝末节”。因而，本书不仅适合PHP研发人员，也适合网络安全技术人员参阅。

序

在第六届中国互联网安全大会（Internet Security Conference，ISC）前夕，从栾涛这里得知本书已完成编写，欣喜之余我认真翻阅，认为此书对改善网络安全状况具有积极意义。

IT系统的漏洞是网络安全问题的根源，而漏洞的产生往往是IT系统研发人员“不知不觉”导致的，如安全意识不强、工作疏忽以及安全防范技能有所欠缺等。近几年，随着全球信息化程度及互联网化程度的提高，越来越多的系统承载在Web之上，所以，如果能在Web系统的设计、研发之初即避免漏洞，就能有效地减少网络安全问题的产生，从而在一定程度上改善整个网络的安全状况。

栾涛所著的这本书，依托他多年来在实际研发过程中所积累的宝贵经验，讲述了PHP项目安全研发的方方面面，深度剖析了安全问题的各种场景，能让PHP研发人员了解安全原理与安全风险，从而引导研发人员对PHP项目安全问题进行思考，提高安全意识和技能。据万维网技术调查（W3Techs）统计，全球80%的Web系统是使用PHP语言研发的，可见，从代码安全的角度做好PHP项目的意义重大。此外，目前市场上专业的安全技术类图书大多是面向信息安全人员的，面向研发人员的非常少，研发教程类图书基本上缺乏关于安全问题的章节，可以说本书将帮助PHP从业人员提高对PHP项目安全的认知。

栾涛与我在360企业安全集团共事期间，全程参与了漏洞扫描、安全防护、系统监控等产品研发项目，正是因为他在这些项目上的深厚积累，使得他具备了良好的安全意识与技能。客观地说，他主导研发的系统几乎很难找到安全漏洞。我曾鼓励他将安全经验整理成书，今日得知书成，特为之作序，颇感荣幸与欣慰。

我相信这本书会给广大研发人员带来很多帮助，从而为互联网安全状况的改善发挥积极作用。

欧怀谷

奇安信集团　副总裁

推荐语录

潘剑锋│奇虎360首席安全架构师

PHP是最流行的Web开发语言之一，但要找到一本关于PHP研发安全的优秀图书却并不容易。本书作者总结其在该领域的丰富经验，深入浅出地介绍了相关安全问题及解决之道。本书适合PHP研发人员、安全从业人员以及对安全攻防技术感兴趣的人员阅读。