Monthly Archives: October 2014

Use DJJob in CodeIgniter

In a web application, time consuming processes, like sending emails, you need make it asynchronous. In this blog, we will introduce how to make a job running in the background using DJJob and crontab or CLI. In the Rails world,

Posted in PHP, Tech Tagged with:

Load database config file from libraries in CodeIgniter

Sometime you will want to load database config variables from your libraries.In this case, if you use $this->_CI->config->load(‘database’), you will get an error: The error somthing like Your application/config/database.php file does not appear to contain a valid configuration array. The

Posted in Tech Tagged with: ,

《Web应用安全权威指南》出版后记

《Web应用安全权威指南》终于出版了,从开始翻译到上市,历时近一年。这期间,译者,尤其是图灵的编辑都付出了巨大的努力。当然,只有获得读者的承认,所有人的努力才不算浪费。 我也是今天刚拿到纸版的书,从印刷质量上来说,还挺不错,字体正合适阅读,封面设计的也很好看;纸质也不错,虽然有点重,不过只有不到400页,拿在手里正好。关键是,价钱也不贵,大概60左右的样子,貌似China-Pub59块多。 如果书中有什么不对的地方,也希望读者能直接和图灵或者译者联系。 1. 关于图灵和本书 首先,我个人认为这本书的主要面向用户为:初中级水平的开发人员,对安全感兴趣又不是特别深入的人;以及经验相对丰富又想做些查漏补缺的人。 这本书主要是面向开发人员的,意在帮助大家开发安全的Web应用,而不是让你成为黑客或者专业的安全人员。 此外,本书除了全世界共通的技术语言之外,中日之间不同的开发方式,IT背景也能帮我们开阔眼界, 促使我们去考虑一些之前没人去考虑的方面。也许有些东西在国内不现实或者不实用,由于译者能力有限,未能全部按照国内情况改写,深感内疚。 再介绍下原作者德丸浩(Twitter ID:@ockeghem https://twitter.com/ockeghem)。2008年创立HASH咨询公司,任董事长。主要从事网络安全性的诊断与咨询工作,并在工作之余通过博客普及网络安全知识。兼任KYOCERA Communication Systems股份有限公司技术顾问、独立行政法人信息处理推进机构(IPA)客座研究员,活跃于日本安全业界。说到IPA,这是在日本非常权威厉害的IT部门,他们除了举办类似国内的程序员、系统分析员等考试之外,还和有很多非常实用的机构和功能,比如没年的开源大奖,未踏(即还没有人踏入过的领域、技术)大奖等,非常贴近实际产业现状和需求。而KYOCERA,即京瓷,则是最近在中国很火的日本管理大师稻盛和夫所创办的企业。 2. 本书内容 本书共分8章,分别是: 第1章 什么是 Web应用的安全隐患 本章是入门引子,非常简短,主要是介绍了什么什么是Web应用中的安全问题,及其出现原因。并提出安全性bug和安全性功能两个概念。 第2章 搭建试验环境 本章介绍了如何安装书中演示例子的环境,包括虚拟机和调试工具Fiddler等。 本书还附带了一个VMware Player虚拟机,里面是一个简单的Web运行环境,功能不比大多数小网站少,非常方便大家亲手进行实践,包括Apache/PHP/邮件服务等。不过遗憾的是里面环境有些是日文的,大家可以和书对照着看。 整个环境可以从http://www.ituring.com.cn/book/1249中的“随书下载”菜单下下载。 第3章 Web 安全基础:HTTP、会话管理、同源策略 可以认为这章是进入后续章节的入门预习,主要介绍了HTTP原理和会话功能。以及主动攻击和被动攻击,及同源策略。 什么是HTTP,URL的结构式怎样的,一个网页请求都会有哪些网络传输?HTTP请求和返回的各字段都是什么意思?GET和POST的区别等等问题,以及现代Web赖以生存的Cookie和Session机制及安全问题,本章都进行了详细的说明。 本章后半部分,对被动攻击和同源策略进行了具体的介绍。 第4章 Web应用的各种安全隐患 这是本书中分量最重的一章,因为它介绍了现代Web安全的最重要3个问题:XSS,SQL注入和CSRF。除此之外,还有一些可能会被我们忽略的小问题,比如重定向问题,邮件发送问题,调用OS命令等问题。 第5章 典型安全功能 本章主要对为了保护系统安全所编写的安全性功能相关的最佳实践,主要就是账号管理、认证授权,最后也介绍了日志管理。 比如说错误消息提示,如果登录的时候email并没有在应用中注册,那么错误消息怎么显示?是“该用户不存在”,还是“登录出错”?这个大难,还是留给各位在阅读本书时自己思考吧。

Posted in 生活, Tech

无觅相关文章插件,快速提升流量