每一名开发人员都需要制订相关的决策，包括代码的类型和代码的质量，并判断下一行代码是否更加安全、具有弹性、更加坚固，否则将很难避免遭受攻击的命运。在将代码发布至GitHub之前，我们应仔细考虑这些问题。这些决策将很好的开发人员与一般人员区分开来。

《编写安全的移动应用程序—基于PHP和JavaScript技术》详细阐述了与编写安全的移动应用程序相关的基本解决方案，主要包括Web应用程序攻击界面，PHP安全反模式，PHP基本安全，PHP安全工具概览，基于UTF-8的PHP和MySQL，项目布局模板，关注点分离，PHP和PDO，模板策略模式，现代PHP加密技术，异常和错误处理，安全的会话管理，安全的会话存储，安全的表单和账户注册，安全的客户端服务器表单验证，安全的文件上传机制，安全的JSON请求，Google Maps、YouTube和jQuery Mobile，Twitter身份验证和SSL cURL，安全的AJAX购物车，常见的Facebook漏洞点等内容。此外，本书还提供了相应的示例，以帮助读者进一步理解相关方案的实现过程。
本书适合作为高等院校计算机及相关专业的教材和教学参考书，也可作为相关开发人员的自学用书和参考手册。

目 录
部分
章 概述\t3
1.1 理解安全的Web开发\t3
1.1.1 适用读者\t3
1.1.2 本书未涉及的内容\t4
1.1.3 背景知识\t4
1.1.4 安全工具\t5
1.1.5 在项目间创建一致性的可复用代码\t5
1.2 基于HTML5、AJAX和jQuery Mobile的移动应用程序\t5
1.3 移动应用程序—社交混搭\t5
1.3.1 客户端技术\t6
1.3.2 客户端应用程序布局\t6
1.3.3 服务器应用程序\t6
1.4 安全措施的演变\t6
1.4.1 SQL注入和CSRF\t7
1.4.2 输出上下文攻击\t7
1.4.3 HTML5新技术\t8
1.4.4 实践与漏洞\t8
1.4.5 安全扩展插件\t8
1.4.6 信息缺失\t8
1.4.7 一致性缺失\t9
1.5 Web应用程序安全的新思路\t9
第2章 Web应用程序攻击界面\t15
2.1 攻击途径\t15
2.2 常见威胁\t16
2.2.1 SQL注入\t16
2.2.2 跨站点脚本\t17
2.2.3 跨站点请求伪造\t18
2.2.4 会话劫持\t18
2.3 保护输入和输出流\t19
2.3.1 GET请求\t19
2.3.2 POST请求\t20
2.3.3 Cookie数据\t21
2.3.4 会话固定\t21
2.3.5 跨站点请求伪造\t21
2.4 输入过滤和输出转义的理论知识\t25
2.4.1 输入验证\t26
2.4.2 输入过滤\t26
2.4.3 输出转义\t27
2.4.4 数据的显示位置\t28
2.5 OWASP XSS Prevention Rules\t28
第3章 PHP安全反模式\t37
3.1 反模式\t37
3.2 不使用内容安全策略反模式进行设计\t38
3.3 单一尺寸适合所有的反模式\t38
3.4 错误的反模式\t38
3.4.1 经验式反模式\t39
3.4.2 关键数据类型的理解和分析\t40
3.4.3 单一数据类型反模式\t40
3.5 全部输入的HTTP数据均为字符串\t44
3.5.1 类型验证\t46
3.5.2 输入内容与输出内容相同\t48
3.5.3 假定的“干净”数据\t49
3.5.4 mysql_real_escape_string()的错误使用方式\t49
3.5.5 过滤、转义和编码\t50
3.5.6 单一输出上下文\t51
3.5.7 缺乏规划\t51
3.5.8 一致性缺失\t52
3.5.9 缺少应有的测试\t52
3.5.10 参数遗漏\t52
3.6 设计实践\t55
3.6.1 HTML和PHP代码的分离\t55
3.6.2 过多的数据库函数调用\t55
3.6.3 错误的过滤机制\t56
3.6.4 过多的引号\t57
3.6.5 原始请求变量作为应用程序变量\t57
3.6.6 直接URL输入\t58
3.6.7 错误管理操作\t59
3.6.8 加密操作\t59
3.6.9 Cookie过期\t60
3.6.10 会话管理\t61
3.7 消除反模式：模式、测试、自动化\t61
第4章 PHP基本安全\t63
4.1 一致的UTF-8字符集\t63
4.1.1 数据库中的UTF-8\t64
4.1.2 PHP应用程序中的UTF-8\t64
4.1.3 客户浏览器中的UTF-8\t65
4.2 清理安全数据\t65
4.2.1 输入验证—尺寸和类型\t65
4.2.2 转义输出—考查上下文\t65
4.2.3 数据库访问模式\t66
4.2.4 应用程序秘密位置模式\t66
4.2.5 错误处理模式\t66
4.2.6 错误的日志处理模式\t67
4.2.7 身份验证\t67
4.2.8 授权模式\t67
4.2.9 可接受的白名单输入\t67
4.3 最佳实践方案小结\t68
4.3.1 架构应用程序字符集\t68
4.3.2 架构HTTP请求模式\t68
4.3.3 架构HTTP Cookie应用\t69
4.3.4 架构输入验证\t69
4.3.5 架构输出转义\t69
4.3.6 架构会话管理\t70
4.3.7 保护机密文件/保护包含的文件\t70
4.3.8 保护用户密码\t70
4.3.9 保护用户会话数据\t70
4.3.10 防护CSRF攻击\t71
4.3.11 防护SQL注入攻击\t71
4.3.12 防护XSS攻击\t71
4.3.13 防护文件系统攻击\t71
4.3.14 相应的错误管理机制\t71
4.4 PHP的OWASP推荐方案\t72
4.4.1 检查表\t72
4.4.2 附加的PHP安全检查表\t73
4.4.3 禁用危险的PHP函数\t74
第5章 PHP安全工具概览\t75
5.1 对象语言\t75
5.1.1 抽象类、接口、外观、模板、策略、工厂和访问者\t75
5.1.2 DRY\t78
5.2 本地函数支持\t79
5.2.1 编码函数\t79
5.2.2 DRY强制函数\t81
5.2.3 类型强制函数\t82
5.2.4 过滤器函数\t83
5.2.5 移动函数\t86
5.2.6 加密和哈希函数\t87
5.2.7 现代加密\t87
5.2.8 现代哈希方法\t89
5.2.9 现代salt机制和随机机制\t89
5.2.10 HTML模板支持\t89
5.2.11 内联定界符函数\t90
5.3 最佳实践方案\t92
5.3.1 尽可能使用整数值\t92
5.3.2 使用类型强制\t93
5.3.3 强制字符串大小和数字范围\t93
5.3.4 在过滤前剪裁字符串\t94
5.3.5 保持较小的字符串\t94
5.3.6 要避免的问题\t94
5.4 PDO预处理语句\t96
5.5 弃用的安全函数\t97
第6章 基于UTF-8的PHP和MySQL\t99
6.1 UTF-8\t99
6.1.1 UTF-8的优缺点\t99
6.1.2 UTF-8的安全性\t100
6.2 完整的PHP UTF-8设置\t100
6.2.1 UTF-8 MySQL数据库和表创建\t100
6.2.2 UTF-8 PDO客户端连接\t102
6.2.3 手动UTF-8 PDO/MySQL连接\t103
6.2.4 PHP UTF-8初始化和安装\t103
6.3 UTF-8浏览器设置\t104
6.3.1 头设置\t104
6.3.2 元标签设置\t104
6.3.3 表单设置\t105
6.4 PHP UTF-8多字节函数\t105
6.4.1 UTF-8输入验证函数\t105
6.4.2 UTF-8字符串函数\t106
6.4.3 UTF-8输出函数\t107
6.4.4 UTF-8邮件\t108
6.5 PHPUnit测试中的UTF-8配置\t109
6.5.1 测试PHP内部编码\t109
6.5.2 测试PHP输出编码\t109
6.5.3 断言UTF-8配置的PHPUnit Test类\t110
第7章 项目布局模板\t115
7.1 应用程序中的相似性\t115
7.1.1 项目布局应采用一致性方式进行处理\t115
7.1.2 选择查询封装器\t118
7.1.3 HTML静态资源的分离\t119
7.2 完整的注释文件\t120
第8章 关注点分离\t121
8.1 什么是关注点分离\t121
8.2 保持HTML为HTML\t122
8.3 令PHP远离HTML\t122
8.4 令JavaScript远离HTML\t124
8.5 内容安全性策略\t126
8.6 HTML中的ID和类\t127
8.7 小结\t128
第9章 PHP和PDO\t129
9.1 PDO UTF-8连接\t130
9.2 MySQL UTF-8和表创建\t131
9.3 PDO预处理语句\t132
9.3.1 PDO命名参数示例\t133
9.3.2 PDO未命名参数示例\t133
9.3.3 PDO类对象示例\t135
9.4 选择数据并置入HTML和URL上下文\t135
9.5 引用值和数据库类型转换\t138
9.5.1 PDO手工引用示例\t139
9.5.2 PDO和WHERE IN语句\t139
9.6 白名单机制和PDO列名引用\t140
9.7 小结\t141
0章 模板策略模式\t143
10.1 模板模式强制执行流程\t143
10.1.1 账户注册模板\t143
10.1.2 账户注册模板—激活\t145
10.2 输出转义的策略模式\t147
10.2.1 转义策略类\t147
10.2.2 改进的转义策略类\t150
10.3 Cleaner类\t153
10.3.1 测试Cleaner类\t158
10.3.2 Cleaner::getKey()验证应用示例\t159
1章 现代PHP加密技术\t161
11.1 使用MCrypt进行双向加密\t161
11.2 利用Blowfish加密哈希密码\t165
2章 异常和错误处理\t167
12.1 配置PHP错误环境\t168
12.1.1 安全的php.ini和错误日志文件\t168
12.1.2 错误选项简介\t169
12.1.3 生产环境下的php.ini错误配置\t170
12.1.4 开发环境下的php.ini错误配置\t170
12.1.5 PHP错误级别常量\t171
12.2 异常处理机制\t172
12.3 捕获所有错误和异常\t177
12.3.1 将错误转换为异常\t177
12.3.2 错误处理函数的规范\t177
12.3.3 处理程序的返回值\t178
12.4 ErrorManager类\t178
12.5 利用register_shutdown_function()处理致命错误\t179
第2部分
3章 安全的会话管理\t185
13.1 SSL登录页面\t185
13.1.1 安全会话管理简介\t186
13.1.2 安全会话管理检查表\t186
13.1.3 检查表的详细内容\t187
13.1.4 设置配置内容\t192
13.1.5 监控会话篡改\t194
13.1.6 检测用户代理的更改—篡改防护的最佳实践方案\t195
13.2 通过SSL强制页面请求\t196
13.2.1 SSL重定向\t196
13.2.2 协议相关链接\t196
4章 安全的会话存储\t199
14.1 PHP默认会话存储\t199
14.1.1 会话存储的生命周期\t200
14.1.2 会话锁\t201
14.1.3 AJAX和会话锁\t201
14.2 会话管理配置\t201
14.2.1 在session_start()调用前配置安全项\t202
14.2.2 正确地销毁会话\t205
14.3 加密会话存储\t206
14.3.1 通过MySQL加密会话存储\t206
14.3.2 在MySQL中创建自定义会话处理程序\t206
14.3.3 SecureSessionPDO类\t208
14.3.4 评论和决策时间\t216
14.3.5 类成员函数的细节内容\t217
14.3.6 通过文件系统加密会话存储\t228
14.3.7 SecureSessionFile类\t229
14.3.8 SecureSessionFile类的细节内容\t234
5章 安全的表单和账户注册\t243
15.1 安全的用户注册和登录处理\t243
15.2 SSL上的安全表单登录页面\t245
15.3 安全的表单nonce—防止CSRF\t245
15.4 NonceTracker类\t246
15.4.1 NonceTracker类的详细信息\t246
15.4.2 NonceTracker类的具体解释\t248
15.5 表单输入验证\t250
15.5.1 注册表单\t252
15.5.2 注册表单的细节内容\t256
15.5.3 用户密码的双重加密\t258
15.6 账户管理类\t261
15.6.1 AccountManager类细节内容和授权检测\t266
15.6.2 电子邮件验证和激活系统\t267
15.6.3 基于Blowfish轮数的加密强度\t273
15.6.4 安全的密码请求链接\t275
15.6.5 权限提升后的重新授权\t276
15.7 SessionManager类\t277
15.7.1 SessionManagement类的详细内容\t280
15.7.2 基于essionManager的安全注销\t282
15.8 权限提升保护系统\t283
15.9 安全的登录\t285
15.9.1 安全的登录表单\t285
15.9.2 安全的登录表单细节\t287
15.10 通过身份验证保护页面\t290
15.11 安全的注销页面\t290
15.12 安全的RememberMe特性\t292
6章 安全的客户端服务器表单验证\t297
16.1 PHP UTF-8输入验证\t297
16.1.1 服务器UTF-8验证\t297
16.1.2 通过RegEx验证UTF-8名称和电子邮件\t298
16.1.3 电子邮件地址的清除工作\t300
16.2 PREG\t301
16.2.1 服务器端的正则表达式\t301
16.2.2 基于正则表达式的JavaScript验证\t307
16.2.3 基于正则表达式的jQuery验证\t308
16.3 jQuery密码强度计\t311
16.4 JavaScript和jQuery转义和过滤\t313
16.4.1 利用innerText替换innerHTML\t315
16.4.2 嵌入式HTML超链接—innerHTML中的问题\t315
16.4.3 不安全的JavaScript函数\t318
16.5 防止双重表单提交\t318
16.5.1 表单处理的Post-Redirect-Get模式\t319
16.5.2 PRG模式\t320
16.5.3 PRG指令\t321
16.5.4 跟踪表单标记以防止重复提交\t323
16.6 控制表单页面缓存和页面过期\t325
16.6.1 主缓存-控制设置\t326
16.6.2 微软IE扩展\t327
16.6.3 AJAX GET请求的时间戳机制\t327
16.6.4 构建安全的GET请求URL\t327
7章 安全的文件上传机制\t329
17.1 基本原则\t329
17.2 基于数据库的安全的文件上传机制\t331
8章 安全的JSON请求\t339
18.1 构建安全的JSON响应\t339
18.1.1 正确和错误的JSON\t339
18.1.2 正确的JSON结构依赖于数组结构\t340
18.1.3 利用PDO记录构造安全的数组\t342
18.2 在PHP中发送和接收JSON\t343
18.2.1 从PHP发送JSON\t343
18.2.2 在PHP中接收JSON\t347
18.3 利用JavaScript/jQuery安全地解析JSON\t347
18.3.1 jQuery JSON调用\t348
18.3.2 POST和解析JSON响应示例\t349

第3部分
9章 Google Maps、YouTube和jQuery Mobile\t353
19.1 代码构建\t353
19.2 在Google Map InfoWindows中设置视频\t354
19.3 生成InfoWindow Marker\t354
19.3.1 HTML和jQuery Mobile布局\t355
19.3.2 关注点分离\t357
19.3.3 HTML片段描述\t358
19.3.4 YouTube元素描述\t359
19.3.5 JavaScript文件：gmap.js\t360
19.3.6 基于可播放视频的InfoWindow Marker\t366
19.4 Map Marker数据库表\t370
19.5 数据库类GMapData\t371
19.5.1 处理标记\t373
19.5.2 生成标记\t373
19.5.3 插入和更新标记\t376
19.6 准备安全的JSON数据\t380
第20章 Twitter身份验证和SSL cURL\t385
20.1 基于PHP的Twitter\t385
20.2 TweetFetcher类\t386
20.3 通过TweetFetcher读取tweet\t391
20.3.1 获取Twitter oAuth令牌\t391
20.3.2 针对cURL设置SSL身份验证\t392
20.3.3 从时间轴上检索最新的tweet\t393
20.3.4 创建和过滤纯文本中的超链接\t393
20.4 过滤不良的tweet\t396
20.5 使用TweetFetcher\t397
第21章 安全的AJAX购物车\t401
21.1 移动商店\t402
21.1.1 向购物车中添加商品\t405
21.1.2 从购物车中移除商品\t413
21.2 利用PayPal购物\t414
21.2.1 开始PayPal事务\t415
21.2.2 安全地向PayPal付款\t419
21.2.3 完成PayPal购买行为\t421
21.3 小结\t426
第22章 常见的Facebook漏洞点\t427
22.1 通过PDO保存Facebook实时更新\t427
22.2 反射JSON坐标\t428
22.3 反射消息\t429
22.4 反射URL\t429
22.5 JavaScript和jQuery过滤器\t429
22.6 JSONP预防措施\t431
参考文献\t433
附录\t435
在线资源\t435
理解编码器背后的正则表达式\t435
根据最新的安全警告检查HTML头\t436
支持网站\t436
推荐读物\t437