我已經開始閱讀一本關於PHP安全性的書(但其理論上並不那麼實際),並且已經閱讀了Chris Shiflett和Schenider的博客,但是沒有人知道我可以參加的正式課程,甚至可以獲得證明我知道如何編寫安全PHP代碼的證書?PHP安全性的培訓課程(或認證)
編輯:我得到了很多的答案,其中一些不回答我的問題。所以我引用了ircmaxell的評論,因爲它確實觸及了這一點。
雖然我與證書不 無所謂同意(並找到 漏洞是最好的方式來學習 ),我不知道該回答的問題 。一個應該如何從不 去了解有關安全性的任何內容到 地步,他們可以做審計是 能找到漏洞
我想,雖然補充的是,雖然我同意的經驗更重要的是認證,認證並不重要。這是一個快速證明,我知道的比來自印度的高中愛好者程序員要高出30美元。
http://www.zend.com/services/certification/是一個很好的。
在你採取的是考試,你可能想看看:
編寫安全的代碼跨越的不僅僅是PHP更多:好的代碼,正確的代碼是語言無關。儘管每種語言都有細微的差別,但是有一套基本的校長學習,無論你寫什麼都可以轉讓。最好是學習這些核心價值觀,然後學習語言的具體內容。密碼學,良好的數據庫設計,正確的內存管理和操作系統主體的基本知識將使您對安全性有更深入的瞭解,而不僅僅是獲得PHP安全性認證。
當談到這一點時,編寫安全代碼應該是任何程序員的技能集合的一部分。
我強烈推薦Chris Shiflett的書。我認爲應該要求所有Web開發人員閱讀,而不僅僅是PHP開發人員,因爲所列出的原則,攻擊和防禦措施適用於所有Web語言。這也是一個快速閱讀,但會給你一個網絡應用安全恕我直言的堅實基礎,否定課程的需要。 Zend認證工程師學習指南中有關安全性的章節也很好,但與Shiflett的書相同。
有OWASP Certification Project,但從我可以告訴它不再活躍(雖然一些鏈接的內容仍然看起來活躍)。
雖然不是PHP專用,但也有GIAC Certification。它的目標是針對一般的安全性,而不是語言特定的技術(從我可以收集的任何方面)...
還有Software Security Institute ...我沒有背景,所以我不能真正擔保,但它似乎有你在看什麼。
編輯:一些反思後:
老實說,我看不出證書的點。如果你想參加培訓,太棒了!但是,證書所能做的就是證明你能夠通過測試。它沒有說任何你知道的或你的能力......獲得真實的世界體驗,這比一週中的任何一天的任何證書都更有價值。參與開源項目(特別是來自安全方面,在我的經驗中,很多需要幫助)。參與OWASP。獲得一些真實的世界體驗,參加會議和用戶組以繼續學習。這將是證書的10倍...
獲取一個PHP項目CVE編號。如果你無法找到PHP代碼中的漏洞,那麼認證並不意味着什麼。
爲了理解代碼如何可能不安全,我建議安裝Damn Vulnerable WebApp。您還應該查看現實世界中的漏洞,例如The Whitebox上的漏洞。 PHP/MySQL項目因爲不安全而被放棄的博客和商店。挑戰是在野外發現的困難安全系統,但它們也非常不安全。對於一些有攻擊性的PHP安全閱讀,我建議A Study In Scarlet。
雖然我同意這個證書並不重要(並且發現漏洞是最好的學習方式),但我不確定這個問題的答案。一個人應該從不知道安全的事情到他們能夠進行審計以發現安全漏洞的地步...... – ircmaxell 2010-11-16 18:51:57
@ircmaxell我不明白證書如何幫助那個......不管我應該說CISSP實際上是值得的。 – rook 2010-11-16 18:59:33
我並不是在辯論這一點(我同意100%)。我只是想,OP想知道如何在更正式的環境中學習(因此也許你可以指點他從你的經驗中獲得一些有用的資源)... – ircmaxell 2010-11-16 19:03:20
這是更多關於PHP的知識比安全知識......雖然它不能傷害,它不是什麼問題要求(至少恕我直言)... – ircmaxell 2010-11-16 14:01:42
我不能說這直接回答我的問題。我正在尋找專注於安全性的事情。 – sami 2010-11-16 16:47:54