「ThinkPHP开发者周刊」第31期——WEB安全
最后更新于:2022-04-02 04:37:40
## [ 本周热点 ]
这两天,一篇名为《开源维护者的挣扎》的文章被迅速顶至 Hacker News 首页,这是 Redis 作者 antirez 发布的最新博客:[Redis 作者 antirez:开源维护者的挣扎](https://www.oschina.net/news/106799/the-struggles-of-an-open-source-maintainer)。
几个月前,一名开源项目的维护者向 antirez 发邮件,倾诉自己苦心维护项目多年,这或多或少带来了一些心理上的负担,因此特来寻求建议。antirez 表示谈不上给出建议,但可以写一篇博客文章来分享对此事的看法。经过反复的思索和自我分析,他坦承“维护一个开源项目会带来乐趣”,但“也有消极的一面”。
值得思考的是[为什么我们从来不去感谢开源项目维护者](https://segmentfault.com/a/1190000012575030),甚至逼得项目维护者[关闭 PRs](https://www.oschina.net/news/81789/why-i-close-prs-oss-project-maintainer-notes),这份[为 GitHub 项目做出贡献的初学者指南](https://juejin.im/post/5b2e573af265da59bd5ec813)或许对想参与开源项目的新手开发者有所帮助。
## [ 新闻/资讯 ]
* [PHP 早已不是十年前的模样](https://www.oschina.net/news/106700/php-in-2019)
* [用`Rust`语言重写PHP虚拟机](https://gitee.com/crm8000/RustPHP)
* [开发 7 年,我学到了什么?](https://www.oschina.net/news/106798/7-years-as-a-developer-lessons-learned)
* [2019年七大安全和风险管理趋势一览](https://www.freebuf.com/articles/es/197683.html)
* [`Web`安全开发规范手册`V1.0`](https://segmentfault.com/a/1190000017090860)
* [`ThinkPHP`安全规范指引](https://blog.thinkphp.cn/789333)
## [ 教程/技巧 ]
* PHP加解密系列API安全加强篇([篇一](https://segmentfault.com/a/1190000018977184)、[篇二](https://segmentfault.com/a/1190000019119096)、[篇三](https://segmentfault.com/a/1190000019119371)、[篇四](https://segmentfault.com/a/1190000019189227))
* [PHP四种序列化方案横向对比](https://t.ti-node.com/thread/6445811931700789248)
* [JSONP 劫持原理与挖掘方法](https://www.k0rz3n.com/2019/03/07/JSONP%20%E5%8A%AB%E6%8C%81%E5%8E%9F%E7%90%86%E4%B8%8E%E6%8C%96%E6%8E%98%E6%96%B9%E6%B3%95/)
* [一篇文章带你理解漏洞之 PHP 文件包含漏洞](https://www.k0rz3n.com/2018/11/20/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%B4%9E%E4%B9%8B%20PHP%20%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E/)
* [基础 Web 漏洞攻击与防御的思考](https://www.k0rz3n.com/2019/02/03/%E5%9F%BA%E7%A1%80%20Web%20%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB%E4%B8%8E%E9%98%B2%E5%BE%A1%E7%9A%84%E6%80%9D%E8%80%83/)
* [业务 Web 漏洞攻击与防御的思考](https://www.k0rz3n.com/2019/02/07/%E4%B8%9A%E5%8A%A1%20Web%20%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB%E4%B8%8E%E9%98%B2%E5%BE%A1%E7%9A%84%E6%80%9D%E8%80%83/)
* [新版ThinkPHP`Session`和`Cookie`设计变化](https://blog.thinkphp.cn/1077719)
## [ 扩展/应用 ]
* [`think-graphql`](https://github.com/smilecc/think-graphql)——基于[`graphql-php`](https://github.com/webonyx/graphql-php)二次封装
* [`Swoole Compiler`](https://www.swoole-cloud.com/compiler.html)——Swoole官方推出的PHP代码加密和客户端授权解决方案
## [ 书籍/专栏 ]
![](https://docs.gechiui.com/gc-content/uploads/sites/kancloud/2cbac4de72e2f584bee92232c33a0136_2090x2090.png)
《[PHP Web安全开发实战](https://item.jd.com/12460582.html)》——本书结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。
>[info] 专栏:快速找出网站中的XSS漏洞实践
* [快速找出网站中可能存在的XSS漏洞实践(一)](https://segmentfault.com/a/1190000016095198)
* [通过Web安全工具Burp suite找出网站中的XSS漏洞实战(二)](https://segmentfault.com/a/1190000016605693)
* [通过代码审计找出网站中的XSS漏洞实战(三)](https://segmentfault.com/a/1190000016620744)
* [Web安全之XSS Platform搭建及使用实践](https://segmentfault.com/a/1190000017307500)
## [ 活动/福利 ]
[CDN 深夜不打烊 5 折闲时包限量抢](https://www.qiniu.com/events/cdn-package)——七牛云针对 0~9 点的闲时流量,推出特惠 CDN 闲时流量包。CDN 深夜不打烊,5 折特惠限时抢。
[一年之机在于春 七牛云主机买二送一](https://www.qiniu.com/events/qvm2for3)——七牛云主机四月大促,入门爆款云主机买二送一,热卖机型随意购,越久越划算。云主机、云数据库、云短信包优惠多多,福利多多。
## [ 每周之星 ]
>[info]### `PSI` 推荐指数:★★★★
PSI是一款基于ThinkPHP的SaaS模式(Software as a Service软件即服务)的企业管理软件。
[ [官网](https://gitee.com/crm8000/PSI/) | [演示](https://psi.sturgeon.mopaasapp.com/) ]
## 周刊投稿和订阅
周刊投稿及订阅、推广合作请[点击这里](783458)。
';