PHPを運用しているhttpdサーバへの各種攻撃とその対策の総合解説書です。
<br />
<br />PHP security 本としては、O'Reillyの Essential PHP Security があり、そこで大方の攻撃の基本原理は書いてあるのですが、あまり攻撃のヒントを撒いてしまう危険をおもんばかってか、やや実用的know-howを直裁に提供しない嫌いがありました。対して本書は、各種攻撃の分類、コンセプト、内容、対策を非常に具体的に解説した実践書です。
<br />
<br />この実践書、という位置づけは、security維持を務めとするサーバ管理者にとっても、悪意をもつ - あるいは単に悪戯をはたらいてみたいといった輩にとっても同様に当てはまります。従って、このような種明かし本が出版されてしまった以上、堅気のサーバ管理者は必ず本書を手にとり、熟読玩味してからでなければPHPを使うべきでない、としても言い過ぎではないでしょう。記述はおおむね正確、簡潔です。若干の誤植ほかエラーの正誤表は、web 掲載されています。「サイバーテロの技法」「正誤表」でGoogle すれば見つかります。
<br />
<br />ただし、話題の性質上、これまでのレビューでも触れられてある通り、一つ一つの事例をていねいに追わなければ本当には飲み込めるものではありません。
13種類もの代表的なセキュリティーホールをサンプルコードを交えながら説明しているので分かりやすい。但し、理解するには基礎的な知識が必要と思います。
本書は、まず攻撃方法の解説を行って、その対処法を書いているという
<br />点で非常に画期的です。
<br />
<br />攻撃方法を説明すると言うのは、確かに危険?かもしれません。(少な
<br />くとも手に取った時に帯に書いてある文言を読んで私はそう思いました)
<br />でも、よく考えてみると、Googleにキー入力できて、英文が読めて、
<br />Javaスクリプトが多少分かれば、どこかのサーバーサイドプログラム
<br />が書かれているサーバーに向かって攻撃するスキルがあるといって過言
<br />ではないので、じっくり読んで学ぶ価値があると思います。
<br />多くの場合当然ある程度の対策はしてスクリプトを動かしているとは思
<br />いますが、情報誌やネットにばらまかれてジグソーピースのようになっ
<br />ている情報が、ここには詰め込まれています。
<br />
<br />本書は公開するサーバーを持っているシステム管理者と、そこにPHPス
<br />クリプトをアップロードする全てのプログラマに読まれるべき本だと
<br />思います。またPHPスクリプト以外の開発者にとっても参考になるとこ
<br />ろは非常に高いと思います。
<br />
<br />高度な内容を高度なままに書かれているので読み解くには非常に時間が
<br />かかるので、覚悟して手に取った方がいいと思います。
