在第六届中国互联网安全大会(Internet Security Conference,ISC)前夕,从栾涛这里得知本书已完成编写,欣喜之余我认真翻阅,认为此书对改善网络安全状况具有积极意义。

IT系统的漏洞是网络安全问题的根源,而漏洞的产生往往是IT系统研发人员“不知不觉”导致的,如安全意识不强、工作疏忽以及安全防范技能有所欠缺等。近几年,随着全球信息化程度及互联网化程度的提高,越来越多的系统承载在Web之上,所以,如果能在Web系统的设计、研发之初即避免漏洞,就能有效地减少网络安全问题的产生,从而在一定程度上改善整个网络的安全状况。

栾涛所著的这本书,依托他多年来在实际研发过程中所积累的宝贵经验,讲述了PHP项目安全研发的方方面面,深度剖析了安全问题的各种场景,能让PHP研发人员了解安全原理与安全风险,从而引导研发人员对PHP项目安全问题进行思考,提高安全意识和技能。据万维网技术调查(W3Techs)统计,全球80%的Web系统是使用PHP语言研发的,可见,从代码安全的角度做好PHP项目的意义重大。此外,目前市场上专业的安全技术类图书大多是面向信息安全人员的,面向研发人员的非常少,研发教程类图书基本上缺乏关于安全问题的章节,可以说本书将帮助PHP从业人员提高对PHP项目安全的认知。

栾涛与我在360企业安全集团共事期间,全程参与了漏洞扫描、安全防护、系统监控等产品研发项目,正是因为他在这些项目上的深厚积累,使得他具备了良好的安全意识与技能。客观地说,他主导研发的系统几乎很难找到安全漏洞。我曾鼓励他将安全经验整理成书,今日得知书成,特为之作序,颇感荣幸与欣慰。

我相信这本书会给广大研发人员带来很多帮助,从而为互联网安全状况的改善发挥积极作用。

欧怀谷

奇安信集团 副总裁