PHP应用程序安全编程读后总结
用两天的时间把这本书看完了，说实话没有啥感触，觉得有些东西就是提了一下，根本没有做深入的讨论（本来这本书也就这个价格，呵呵），
应该算是初级的书，可用作web安全扫盲

第一章是本书总起的章节，web本来就是不安全的，我们编码人员的作用是将安全依照实际需要尽可能的提高，防止“黑客”可以很简单的入侵，给他们造成一些麻烦。
第二章以一个简单的SQL注入开头（这样的注入。。。。），表明本书使用的是一个留言本的实例
然后就考虑构建错误处理系统
第三章是说明系统调用的风险，告诉我们使用escapeshellcmd和excapeshellarg函数保护系统调用
第四章，缓冲区溢出，简单的告诉我们缓冲区溢出的原理，以及需要关注PHP的安全或其它漏洞信息，针对此问题，建议对输入的变量进行整理（即给予一些判断后再使用）
第五章，验证输入，作者想要告诉我们的是，当你整理了进入应用程序的所有数据后，你将可以预防大量常规攻击类型，确实，所有的用户输入都是不可相信的，在这点上非常认同作者的观点
另外，作者有提出使用正则验证输入，还就此作了相对详细的介绍
第六章，文件系统访问，关于本地文件和远程文件的打开，文件的存储，权限的设置作了粗略的介绍，但是就window的权限作了很详细的菜鸟图解说明（点点点点）另外就文件上传程序作了一些安全方面的说明
第七八章，身份验证，加密，简单说明什么是身份验证及其分类，很那啥啥啥的就window的文件权限作了详细的介绍，然后就是加密及一些加密算法的简单介绍
第九章，会话安全性，介绍了会话的三种攻击类型，劫持（Hijacking），固化(Fixation)和注入(Injection)
以及三种常见的会话防御的方法：用户代理验证，IP地址验证，二级令牌，不过都是简单介绍，这三种会话攻击只是注入攻击的一种方式
第十章，跨站式脚本编程（XSS），它分为反射式或非持久性和存储式或持久性两种类型，仅一页纸（点点点）
第十一，十二章，保护Apache和MySQL，iis SQL server，这两章就是将如何安装这4个东东，然后是一些基本的安全设置（菜鸟教程），不过针对配置项的一些东西可以看看
第十三章，服务器端PHP的安全性，作者建议使用最新版本的PHP（可是，在生产环境下如何要更换PHP版本，嘿嘿，）然后简单介绍了一些安全方案（可长见识，偶没用过）
然后是对PHP的一些安全配置（PHP程序员对这个应该会有有一些了解）
第十四章，自动化测试介绍，还是简单介绍simpleTest
第十五章，探索性测试介绍，基本上是简单的介绍了一些测试安全性的工具
第十六章，从开始阶段设计安全的应用程序，个人觉得这应该是本书比较有价值的地方，对一些文档化和规范化的东西进行了说明，
第十七章，去除已有应用程序的安全漏洞，说明了使用三阶段进行系统的部署，开发环境==>测试环境==>生产环境
然后建议使用版本控制，然后简单介绍了提高应用程序安全的检查列表
第十八章，安全是生活方式的选择：成为一个优秀的编程人员
避免过多特性，编写自文档化代码，使用适合工作的工具，执行同事间的代码评审，
这四点，个人觉得非常有必要，在平时的工作中就代码规范，代码评审等都有做，但是没有完全执行
就工具，觉得还是选择一款个人比较偏好的，
除非是公司要求用IDE，否则用编辑器吧，比如vim
此编辑器在一般情况下是不需要鼠标的，另外在windows和linux下都有相关版本可以使用

在本书中有多次告诉我们一个很好的习惯，对于一些功能点以API的形式给出，最好是独立成相关的模块或控件

另：介绍另一本书，黑客攻防技术宝典
个人觉得比这本书要详细得多，很多方面都有详细的说明，比如说SQL注入等等