前言

作为资深的PHP“码农”，多年来无论面对多么复杂的项目，我总是能带领研发团队顺利攻破难关，满足各种需求，甚至超出预期。但是无论多么努力，总是会出现各种安全问题，我自己也一直被安全问题所困扰。因此，我一直在寻觅面向研发人员的项目安全类图书，但是不尽如人意。市场上针对各种漏洞进行挖掘的图书应有尽有，所面向的读者大都是白帽子、信息安全人员，提供给研发人员，帮助其对系统进行加固、防止漏洞产生的安全类图书却很少。

安全无小事，企业系统应根据自己的业务特点，建立安全红线，特别是在涉及人身、资金、敏感信息等方面，需要在效率、增长、系统性能做出取舍的情况下，确保把安全放在第一位。

如果一个企业连基本的人身、资金、敏感信息等方面的安全都不重视，那么一旦出现问题，就会给企业造成致命的伤害。如果漏洞被攻击者发现并利用，造成的人身损害、企业名誉损失、资金损失、信息损失等基本上是无法弥补的。

在网络安全问题日益突出的今天，必须对网站系统的安全加以重视。只要加以重视，大部分安全问题就可以在系统的研发阶段消灭掉。然而，大多数研发人员只注重代码功能的实现，没有考虑到业务的安全问题，也没有考虑到编码的安全问题，这将给企业和互联网带来严重的安全隐患。

因一个很好的机遇，我加入了奇虎360企业，非常幸运地和很多安全专家一起共事，这使我对安全有了新的认知，同时也丰富了我的安全知识。在不断学习中，我将研发项目时积累的经验记录下来汇成此书，希望能给PHP研发人员提供帮助。

│本书的定位│

本书面向的读者是PHP研发人员。经统计，90%的安全问题是由于研发人员缺乏安全意识造成的。本书阐述了一些漏洞的产生原理及防范措施，希望可以帮助PHP研发人员提高安全意识。本书不是为了让研发人员去做一个白帽子或者攻击者，而是为了更好地帮助研发人员进行系统的安全加固，在项目的研发过程中重视项目安全，合理编码，从根本上解决PHP项目的安全问题。

│致谢│

能认识欧总（欧怀谷）是我的荣幸，感谢欧总在工作上对我的悉心指导，并将多个Web安全业务交给我负责，这对我经验的积累以及编写此书起着决定性作用。非常感谢欧总在百忙之中为本书题写序言。

栾涛