Lập trình viên PHP

Vo Duy Tuan – ZCE <tuanmaster2002@yahoo.com>BlogHoctap.com

$nội_dung_trình_bày

Tại sao xây dựng web? Sự phổ biến của PHP Công cụ phát triển Bảo mật

Tại sao xây dựng Web?1

1. Tại sao chúng ta xây dựng website? Bởi vì…

1. Phân loại website

Social Network Message Board: Forum, Guestbook, Blog… CMS – Content Management System E-Commerce Multimedia (Image Gallery, Music, Video) Web Apps: Mail, Office, Editor, Map, Chat… File Sharing …

Sự phổ biến của PHP2

Ngày xửa, ngày xưa…

Rasmus Lerdorf

Viết PHP năm 1994

Công bố năm 1995, PHP v2

Personal Home Page

Ngày xửa, ngày xưa…

Andi Gutman

& Zeev Suraski Viết lại parser

Công bố PHP3 năm 1998

Viết lại core của PHP, đưa ra Zend Engine năm 1999

Một vài “người nổi tiếng”

Facebook Yahoo Wikipedia Joomla Wordpress … …Zing me @ Zing @ VNG

PHP làm việc như thế nào?

LAMPLinux

Apache

MySQL

PHP / Python / Perl

PHP làm việc như thế nào?

Tại sao dùng PHP?

Open source Lập trình hướng đối tượng Làm việc với nhiều cơ sở dữ liệu Thư viện phong phú: Smarty, PDO… Cộng đồng hỗ trợ lớn Bảo mật Khả năng mở rộng PHP (Extension)

PHP Open Source

PHP Framework

Công cụ phát triển3

3. Công cụ phát triển

PHP: PhpEd, Zend Studio, PHP Manual…

HTML, CSS: Notepad++, Dreamweaver, Rapid CSS…

Javascript: Aptana…

Database: MySQL Workbench, PhpMyAdmin…

Firefox Extension: Firebug, Web Developer, Xrefresh

Debugger & Profiler: Xdebug, DBG Debugger

Code Documentation: phpDocumentor, PHPXref

3. Công cụ phát triển

Cơ sở dữ liệu

Website

Session

Hệ thống File

Bảo mật4

4.1. Cơ sở dữ liệu

SQL Injection

4.1. SQL Injection

4.1. SQL Injection…

Xử lý dữ liệu trước khi truy vấn Sử dụng prepared statement Sử dụng thư viện PDO (PHP Data Object)

4.2. Bảo mật Website

Authentication Yếu Sử dụng thư viện, plugin không tốt DoS – DDoS – SPAM Cross Site Scripting – XSS Cross Site Request Forgery - CSRF

4.2.1. DoS - DDoS

DoS : Deny of Service DDoS: Distributed DoS

4.2.1. DDos – Case Study

4.2.1. DoS – DDoS…

Sử dụng trang điều hướng (vd: DnP Firewall Gateway)

Sử dụng cơ chế Session CAPTCHA …sử dụng tầng khác trong mô hình web

Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS)

4.3. Bảo mật Session

Session Hijacking

4.3.1. Session Hijacking

4.3.1. Session Hijacking – Case study

4.4. Hệ thống File

Remote File Inclusion Backdoor

4.4. Remote File Inclusion

4.4. Remote File Inclusion

4.4. Backdoor – C99Shell

4.4. Backdoor – r57 shell

…Defense in Depth

…Võ Duy Tuấn <tuanmaster2002@yahoo.com>

…Web Freelancer

… PHP Trainer @ CISNET

… Product Execute - Zing Me @VINAGAME

http://www.facebook.com/voduytuan

http://twitter.com/lonelywolfvn

http://blogHoctap.com

you_forgotif

It’s time to query me…

Thanks you!