弱小PHPerの憂鬱

2011/03/01、「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」が発売されます。

PHPをはじめとしたWebセキュリティ業界大御所の一人、徳丸浩氏による著作で、主にPHPとJavaScriptを中心としたWebアプリのセキュアな作り方を比較的具体的に解説してくれる本です。

同系統の書籍として「PHPサイバーテロの技法―攻撃と防御の実際」があり、基本的には現在でも通用する名著ですが、さすがに古いだけあって新しめの攻撃手法には対応していません。
また対象がPHP限定ということもあり、レースコンディション問題やDNSリバインディングといったPHPにはあまり縁のない問題は取り上げられていません。
本書はメインこそPHPですが、JavaやPerl等他の言語についてもフォローがなされており、また同一生成元ポリシーや携帯サイトのセキュリティ、不要なサービスなどといった幅広い分野でのセキュリティ対策にも言及されています。

またVMwareのイメージが添付されており、指示に従ってインストールするだけで簡単にすぐ仮想マシン実行環境ができあがります。
私はXAMPPを使うことが多いのですが、XAMPPはWindows上の実行環境なので、Linuxコマンドなどは全く使用できません。
Linuxをそのまま扱えるVMwareがあると非常に便利です。

SQLインジェクションにはプレースホルダを使えとされており、エスケープについては無かったことレベルの扱いになっています。
このようにネットに溢れる俗説よりも"より正しいと思われる"対処法が書かれており、他のセキュリティ対策についてもググって怪しい手段を試すより遙かに安全で確からしい解法だと思われます。

あと他のセキュリティ対策書ではなかなか見たことのない開発マネジメントの話まで出てきます。
そこまで来ると話が広すぎて一介のPGにはあまり関係のない領域になってくるのですが、開発プロセス上でのセキュリティ対策の扱いなど参考になることもあるかもしれません。


さて、なんで発売もされてない本についてそんなに知っているかというと、まあなにげにしれっとレビュアーの一人として参加していました。
主に著者と私以外のレビュアーのおかげで、Webアプリのセキュリティについて一通り以上のことが学べる本になっています。
「とりあえずある程度のプログラムが作れるようになった、次はどうしよう」というあたりで目を通しておくと、今後Webアプリを作成するうえでためになるでしょう。