「ThinkPHP開發者周刊」第31期——WEB安全 · ThinkPHP開發者周刊

## [ 本周熱點 ] 這兩天，一篇名為《開源維護者的掙扎》的文章被迅速頂至 Hacker News 首頁，這是 Redis 作者?antirez?發布的最新博客：[Redis 作者 antirez：開源維護者的掙扎](https://www.oschina.net/news/106799/the-struggles-of-an-open-source-maintainer)。幾個月前，一名開源項目的維護者向 antirez 發郵件，傾訴自己苦心維護項目多年，這或多或少帶來了一些心理上的負擔，因此特來尋求建議。antirez 表示談不上給出建議，但可以寫一篇博客文章來分享對此事的看法。經過反復的思索和自我分析，他坦承“維護一個開源項目會帶來樂趣”，但“也有消極的一面”。值得思考的是[為什么我們從來不去感謝開源項目維護者](https://segmentfault.com/a/1190000012575030)，甚至逼得項目維護者[關閉 PRs](https://www.oschina.net/news/81789/why-i-close-prs-oss-project-maintainer-notes)，這份[為 GitHub 項目做出貢獻的初學者指南](https://juejin.im/post/5b2e573af265da59bd5ec813)或許對想參與開源項目的新手開發者有所幫助。 ## [ 新聞/資訊 ] * [PHP 早已不是十年前的模樣](https://www.oschina.net/news/106700/php-in-2019) * [用`Rust`語言重寫PHP虛擬機](https://gitee.com/crm8000/RustPHP) * [開發 7 年，我學到了什么？](https://www.oschina.net/news/106798/7-years-as-a-developer-lessons-learned) * [2019年七大安全和風險管理趨勢一覽](https://www.freebuf.com/articles/es/197683.html) * [`Web`安全開發規范手冊`V1.0`](https://segmentfault.com/a/1190000017090860) * [`ThinkPHP`安全規范指引](https://blog.thinkphp.cn/789333) ## [ 教程/技巧 ] * PHP加解密系列API安全加強篇（[篇一](https://segmentfault.com/a/1190000018977184)、[篇二](https://segmentfault.com/a/1190000019119096)、[篇三](https://segmentfault.com/a/1190000019119371)、[篇四](https://segmentfault.com/a/1190000019189227)） * [PHP四種序列化方案橫向對比](https://t.ti-node.com/thread/6445811931700789248) * [JSONP 劫持原理與挖掘方法](https://www.k0rz3n.com/2019/03/07/JSONP%20%E5%8A%AB%E6%8C%81%E5%8E%9F%E7%90%86%E4%B8%8E%E6%8C%96%E6%8E%98%E6%96%B9%E6%B3%95/) * [一篇文章帶你理解漏洞之 PHP 文件包含漏洞](https://www.k0rz3n.com/2018/11/20/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%B4%9E%E4%B9%8B%20PHP%20%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E/) * [基礎 Web 漏洞攻擊與防御的思考](https://www.k0rz3n.com/2019/02/03/%E5%9F%BA%E7%A1%80%20Web%20%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB%E4%B8%8E%E9%98%B2%E5%BE%A1%E7%9A%84%E6%80%9D%E8%80%83/) * [業務 Web 漏洞攻擊與防御的思考](https://www.k0rz3n.com/2019/02/07/%E4%B8%9A%E5%8A%A1%20Web%20%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB%E4%B8%8E%E9%98%B2%E5%BE%A1%E7%9A%84%E6%80%9D%E8%80%83/) * [新版ThinkPHP`Session`和`Cookie`設計變化](https://blog.thinkphp.cn/1077719) ## [ 擴展/應用 ] * [`think-graphql`](https://github.com/smilecc/think-graphql)——基于[`graphql-php`](https://github.com/webonyx/graphql-php)二次封裝 * [`Swoole Compiler`](https://www.swoole-cloud.com/compiler.html)——Swoole官方推出的PHP代碼加密和客戶端授權解決方案 ## [ 書籍/專欄 ] ![](https://box.kancloud.cn/2cbac4de72e2f584bee92232c33a0136_2090x2090.png =200x) 《[PHP Web安全開發實戰](https://item.jd.com/12460582.html)》——本書結合在安全方面的開發經驗，站在開發者的角度，循序漸進地介紹了大量實際發生的漏洞案例，并給出了技術解決方案，包括：常見的網絡攻擊、代碼安全、前端腳本安全、后端應用安全、賬戶安全、加解密認證、SQL注入以及服務器配置等內容。 >[info] 專欄：快速找出網站中的XSS漏洞實踐 * [快速找出網站中可能存在的XSS漏洞實踐(一)](https://segmentfault.com/a/1190000016095198) * [通過Web安全工具Burp suite找出網站中的XSS漏洞實戰(二)](https://segmentfault.com/a/1190000016605693) * [通過代碼審計找出網站中的XSS漏洞實戰(三)](https://segmentfault.com/a/1190000016620744) * [Web安全之XSS Platform搭建及使用實踐](https://segmentfault.com/a/1190000017307500) ## [ 活動/福利 ] [CDN?深夜不打烊?5?折閑時包限量搶](https://www.qiniu.com/events/cdn-package)——七牛云針對 0~9 點的閑時流量，推出特惠 CDN 閑時流量包。CDN 深夜不打烊，5 折特惠限時搶。 [一年之機在于春?七牛云主機買二送一](https://www.qiniu.com/events/qvm2for3)——七牛云主機四月大促，入門爆款云主機買二送一，熱賣機型隨意購，越久越劃算。云主機、云數據庫、云短信包優惠多多，福利多多。 ## [ 每周之星 ] >[info]### `PSI` 推薦指數：★★★★ PSI是一款基于ThinkPHP的SaaS模式(Software as a Service軟件即服務)的企業管理軟件。 [ [官網](https://gitee.com/crm8000/PSI/) | [演示](https://psi.sturgeon.mopaasapp.com/) ] ## 周刊投稿和訂閱周刊投稿及訂閱、推廣合作請[點擊這里](783458)。