Securing PHP Web Applications

Je viens de compléter la lecture le livre Securing PHP Web Applications, par les auteurs Tricia Ballad et William Ballad, publié en 2009 chez Addison-Wesley.

Au fil des pages, j'avais constamment deux impressions : soit il était question de sujets pertinent que j'avais rarement vu ailleurs, soit je voyais des évidences qu'on aurait pu se passer, le pire étant probablement des imprimés d'écrans où on montre l'endroit exact où cliquer pour télécharger telle application. Peut-être est-ce à cause de l'expérience des auteurs à avoir écrit des livres "For Dummies" ?

Il reste que c'est quand même positif dans l'ensemble. On peut lire sur les appels aux fonctions systèmes par PHP, les permissions, le buffer overflow, la validation des paramètres (je le répète tout le temps, un must!), un cours de regexp 101, créer un API pour isoler les risques (j'ai utilisé celle-là dans un récent projet), l'encryption, les sessions, etc. C'est aussi là que j'ai connu l'application CAL9000, où j'ai pu avoir des renseignements pertinents sur le cross-site scripting, du moins, plus que dans cet ouvrage car il en compte à peine que 3 pages!

J'ai aussi trouvé qu'il avait un penchant sur Windows (SQL Server, IIS), même si on parle un peu d'Apache et MySQL. Voyons-y une tentative d'être équitable, même si le second est de loin plus populaire.

À la fin du livre, le passage m'a fait sourire, soit celui où ils font mention de la révision du code par les pairs comme bon moyen critique. C'est effectivement un excellent moyen de prendre le poul sur le fruit de notre travail et les suggestions d'améliorations des autres membres de l'équipe. Justement cité dans ce chapitre, j'ai été témoin plus souvent qu'à mon tour d'une des pires méthodes, soit de demander au "Yes Man", où un programmeur demande à un ami qui l'approuvera à coup sûr plutôt que d'affronter la critique. Comme quoi on demande toujours à ceux qui pensent pareil comme nous!

Dans l'ensemble, je lui accorde la note B.

Tags: Livres