Comments 19
Пожалуй PHP в названии статьи лишнее — почти всё описанное применимо и там, где нет никакого PHP.
Да, мне нравится Макс Фрай )
Другие переводы оригинального названия не пропустила цензура (

ssl.verify_peer в поддерживаемых версия PHP (5.6+) уже по-умолчанию true, и это здорово, ибо очень не многие указывали этот параметр явно

К сожалению, это никакая не книга. Этак и я буду песатель, плодовитый автор бестселлеров.
Отличие книги от этой самодеятельности состоит в том, что у книги всегда есть редактор. И даже не один. Задача которого не пропустить в печать откровенную лажу.


В данном же случае мы имеем по сути стену лифта. Кто хочет — тот и самовыражается. О достоверности сведений можно лишь догадываться.


Обычно такого рода опусы можно разделить условно на две части:


  • начинают все с абстрактных рассуждений, состоящих из общих мест, с которыми спорить трудно, но и практической пользы никакой извлечь нельзя;
  • когда же автор переходит к практическим рекомендациям, пытаясь реализовать в коде многочисленные и зачастую противоречашие друг другу рекомендации из теоретической части, чтение становится чревато появлением синяков на лбу и ладони.

С нетерпением жду перевод раздела про инъекции, который с большим удовольствием прокомментирую.

На мой взгляд эта книга предназначена точно не для экспертов, а скорее для начинающих.
Для которых эти абстрактные советы и подобные примеры, собранные в одном месте, могут быть весьма полезны.

Но каждый имеет право на своё мнение:)
В целом, если не нравится, то никто не заставляет читать.

С нетерпением буду ждать комментариев про следующие части, но пожалуйста побольше конкретики. С примерами и пояснениями, почему так делать не надо:)
И тогда мы сможем вывести автора на чистую воду и сделать статью ещё полезнее для читателей:)
Интересно почитать про оверхэд, который создает многослойная защита и проверки, и как достигается баланс производительности при строительстве максимально защищенных приложений.
Хорошая идея.
После завершения перевода постараюсь провести тесты производительности при использовании методов защиты, описанных в книге.

По моему опыту, приложение всегда должно быть безопасно. Если не хватает производительности, значит нужно пересматривать архитектуру и проводить рефакторинг. Достаточно редко приходилось увеличивать мощности или масштабироваться для наших задач.

Вот, кстати, про ваш личный опыт было бы интереснее почитать, чем перевод этой наполовину недописанной книги.
Хотя я осознаю, что в этом случае объем работы несопоставим.

<scr<script>ipt>alert(document.cookie);</scr<script>ipt>

стандартный strip_tags это давно умеет
Конечно умеет.
Но сколько ещё в интернете библиотек с кривыми regexp'ами на обработке входящих данных.

Данная строка приведена в качестве иллюстрации проблемы, а не конечного решения )
Only those users with full accounts are able to leave comments. Log in, please.