前言

作為資深的PHP“碼農(nóng)”，多年來無論面對多么復(fù)雜的項目，我總是能帶領(lǐng)研發(fā)團隊順利攻破難關(guān)，滿足各種需求，甚至超出預(yù)期。但是無論多么努力，總是會出現(xiàn)各種安全問題，我自己也一直被安全問題所困擾。因此，我一直在尋覓面向研發(fā)人員的項目安全類圖書，但是不盡如人意。市場上針對各種漏洞進行挖掘的圖書應(yīng)有盡有，所面向的讀者大都是白帽子、信息安全人員，提供給研發(fā)人員，幫助其對系統(tǒng)進行加固、防止漏洞產(chǎn)生的安全類圖書卻很少。

安全無小事，企業(yè)系統(tǒng)應(yīng)根據(jù)自己的業(yè)務(wù)特點，建立安全紅線，特別是在涉及人身、資金、敏感信息等方面，需要在效率、增長、系統(tǒng)性能做出取舍的情況下，確保把安全放在第一位。

如果一個企業(yè)連基本的人身、資金、敏感信息等方面的安全都不重視，那么一旦出現(xiàn)問題，就會給企業(yè)造成致命的傷害。如果漏洞被攻擊者發(fā)現(xiàn)并利用，造成的人身損害、企業(yè)名譽損失、資金損失、信息損失等基本上是無法彌補的。

在網(wǎng)絡(luò)安全問題日益突出的今天，必須對網(wǎng)站系統(tǒng)的安全加以重視。只要加以重視，大部分安全問題就可以在系統(tǒng)的研發(fā)階段消滅掉。然而，大多數(shù)研發(fā)人員只注重代碼功能的實現(xiàn)，沒有考慮到業(yè)務(wù)的安全問題，也沒有考慮到編碼的安全問題，這將給企業(yè)和互聯(lián)網(wǎng)帶來嚴重的安全隱患。

因一個很好的機遇，我加入了奇虎360企業(yè)，非常幸運地和很多安全專家一起共事，這使我對安全有了新的認知，同時也豐富了我的安全知識。在不斷學(xué)習(xí)中，我將研發(fā)項目時積累的經(jīng)驗記錄下來匯成此書，希望能給PHP研發(fā)人員提供幫助。

│本書的定位│

本書面向的讀者是PHP研發(fā)人員。經(jīng)統(tǒng)計，90%的安全問題是由于研發(fā)人員缺乏安全意識造成的。本書闡述了一些漏洞的產(chǎn)生原理及防范措施，希望可以幫助PHP研發(fā)人員提高安全意識。本書不是為了讓研發(fā)人員去做一個白帽子或者攻擊者，而是為了更好地幫助研發(fā)人員進行系統(tǒng)的安全加固，在項目的研發(fā)過程中重視項目安全，合理編碼，從根本上解決PHP項目的安全問題。

│致謝│

能認識歐總（歐懷谷）是我的榮幸，感謝歐總在工作上對我的悉心指導(dǎo)，并將多個Web安全業(yè)務(wù)交給我負責(zé)，這對我經(jīng)驗的積累以及編寫此書起著決定性作用。非常感謝歐總在百忙之中為本書題寫序言。

欒濤