PHPサイバーテロの技法―攻撃と防御の実際 と、その同時購入商品を検索しました。

PHPを運用しているhttpdサーバへの各種攻撃とその対策の総合解説書です。
PHP security 本としては、O'Reillyの Essential PHP Security があり、そこで大方の攻撃の基本原理は書いてあるのですが、あまり攻撃のヒントを撒いてしまう危険をおもんばかってか、実用的know-howを直裁に提供しない嫌いがややありました。対して本書は、各種攻撃の分類、コンセプト、内容、対策を非常に具体的に解説した実践書です。
この実践書、という位置づけは、security維持を務めとするサーバ管理者にとっても、悪意をもつ - あるいは単に悪戯をはたらいてみたいといった輩にとっても同様に当てはまります。従って、このような種明かし本が出版されてしまった以上、堅気のサーバ管理者は必ず本書を手にとり、熟読玩味してからでなければPHPを使うべきでない、としても言い過ぎではないでしょう。記述はおおむね正確、簡潔です。若干の誤植ほかエラーの正誤表は、web 掲載されています。「サイバーテロの技法」「正誤表」でGoogle すれば見つかります。
ただし、話題の性質上、これまでのレビューでも触れられてある通り、一つ一つの事例をていねいに追わなければ本当には飲み込めるものではありません。（のんたろう / 2006-10-28）

この書籍では、攻撃は槍で突くようなもので、いくら全身武装していても、少し隙間があるとそこを突かれて致命傷になることもある、みたいなことが書かれていたのですが、それを実例で示してくれていると思います。
攻撃手法はPHPの経験があればけっこう思い付きそうなのですが、それを防御するとなると、これはかなり骨が折れるという印象を持ちました。いまのところ、PHPのセキュリティについて扱っている本はこれしかないようです。
また、値段が破格の1800円は驚きです。たぶん2800円でも買っていたと思います。それぐらいの価値は十分あります。（alford / 2006-05-06）

本書は、まず攻撃方法の解説を行って、その対処法を書いているという
点で非常に画期的です。
攻撃方法を説明すると言うのは、確かに危険？かもしれません。（少な
くとも手に取った時に帯に書いてある文言を読んで私はそう思いました）
でも、よく考えてみると、Googleにキー入力できて、英文が読めて、
Javaスクリプトが多少分かれば、どこかのサーバーサイドプログラム
が書かれているサーバーに向かって攻撃するスキルがあるといって過言
ではないので、じっくり読んで学ぶ価値があると思います。
多くの場合当然ある程度の対策はしてスクリプトを動かしているとは思
いますが、情報誌やネットにばらまかれてジグソーピースのようになっ
ている情報が、ここには詰め込まれています。
本書は公開するサーバーを持っているシステム管理者と、そこにPHPス
クリプトをアップロードする全てのプログラマに読まれるべき本だと
思います。またPHPスクリプト以外の開発者にとっても参考になるとこ
ろは非常に高いと思います。
高度な内容を高度なままに書かれているので読み解くには非常に時間が
かかるので、覚悟して手に取った方がいいと思います。（gworks / 2006-05-26）

自宅サーバーを立ち上げ、php を使っているので、買って読んでみました。今まで数冊 web アプリケーションのセキュリティに関する本を読んだのですが、この本の記述が一番具体的で、内容がしっかりしていると思います。早速この本の指針に従って自分のプログラムを書き直しました。
php に限らず、全ての言語に応用できる内容なので、perl, python を使って cgi を書いている人もぜひ読むべきだと思います。
これだけの内容で 1800 円は絶対買いでしょう。（野原しんのすけ / 2006-02-22）

プログラマーはもちろん、そうでない人にも読んでもらいたい。
特に自社のサーバを管理会社任せにしている担当者や、右も左もわからないうちに自宅サーバを立ち上げてしまったスットコドッコイな人にもお勧めする。
ソースの部分は解らなくとも、自分のサーバがいかに脆弱か、実際に攻撃を受けた場合にどういったことが起きるのかを知っておくだけでも十分に意義のある本である。
著者はXOOPS界の大御所だが、今回はそのジャンルを越えて本職であるネットワーク管理者としての経験を余すことなく発揮している。
それにしても見出しの「攻撃してみよう」には参った。（minmin_gogo / 2005-12-13）

PHPでプログラム組むなら最低限必要なことが全てのっている。
この本のおかげでどれだけのエセPHPプログラマが
本当のPHPプログラマに変身しただろうか。それだけ
影響力のある、すごい本だと思うよ。
主にPHPでのセキュリティ対策について書かれています。
非常に読みやすく、わかりやすい。
また、著者はSEであるが、そのPHPのスキルはXoopsなどを通して世界中に
証明済みである。
この本を読まないでPHPで飯食っているそこのあなた、
直に読むことをお勧めする。
もし知らず知らず、お客にセキュリティホールだらけの製品を導入させた日に
あなはたプロとして責任をとれますか？（lucent / 2007-11-09）

13種類もの代表的なセキュリティーホールをサンプルコードを交えながら説明しているので分かりやすい。但し、理解するには基礎的な知識が必要と思います。（あんじー / 2006-10-05）

今までもWebアプリケーションのセキュリティに関して書かれた本はありましたが、この本が一番分かりやすく、かつ具体的な対処方法が明記されているものはなかったと思います。
まず、防御するまえに攻撃手法に関して基本から学び、その後各攻撃手法に関しての防御方法、対処方法を学ぶ。さらにアプリケーション作成後の脆弱性の確認方法までをカバーしている。
攻撃方法を学ぶ上で実験台となるローカルサーバの立て方、スクリプトの用意など初心者にも大変助かる内容になっていると思います。
さらにTelnetを使用してHTTPリクエストの解説や、ツールを使用しての脆弱性のチェックなど、今までのセキュリティ対策の本にはなかった内容ではないでしょうか。
PHPに絞って書かれてはいますが、全てのWebアプリケーション制作者、Web管理者にとって有益な情報になると思います。（boze / 2005-12-17）

1,800円でこれだけ貴重な情報が記載されている書籍を他に見ません。もちろん、レビュー#1のようなプロの方の見方もあるのでしょうが、私たちのレベルから見れば、非常に貴重です。
中身が具体的で良く理解できます。
GIJOEさんありがとうございます。（鎌倉翁 / 2007-08-10）

発売日を見てもらえればわかると思いますが、すでに情報が古く使い物になりません。
他の新しい本を買うことをお勧めします。
また、内容についても評価ではない印象を受けました。
今はホームページなどでも詳しいサイトがありますし。
（松山 / 2007-08-05）

SQLのエスケープにaddslashes()を使用してはいけません。
addslashes()を突破可能な穴は既に発見されていますし、
それにSQLiteのエスケープは'なので明白に間違いです。
他の部分が非常に素晴らしいだけに、ここだけ自信を持って
>addslashes()がベスト
とか言ってしまっているのが残念。（風雅 / 2009-09-24）

この本は素晴らしい！
ＰＨＰは大変便利で習得し易い言語だが、セキュリティに甘いという記事をよく見かける。
その為、ビジネスで利用するのに抵抗があった。
しかしこの本に書かれているセキュリティ対策をすることで、少なくとも安心感が生まれる。
全てのＰＨＰプログラマに読んでもらいたい良書だと思う。（あーるみき / 2008-06-28）