序

在第六届中国互联网安全大会（Internet Security Conference，ISC）前夕，从栾涛这里得知本书已完成编写，欣喜之余我认真翻阅，认为此书对改善网络安全状况具有积极意义。

IT系统的漏洞是网络安全问题的根源，而漏洞的产生往往是IT系统研发人员“不知不觉”导致的，如安全意识不强、工作疏忽以及安全防范技能有所欠缺等。近几年，随着全球信息化程度及互联网化程度的提高，越来越多的系统承载在Web之上，所以，如果能在Web系统的设计、研发之初即避免漏洞，就能有效地减少网络安全问题的产生，从而在一定程度上改善整个网络的安全状况。

栾涛所著的这本书，依托他多年来在实际研发过程中所积累的宝贵经验，讲述了PHP项目安全研发的方方面面，深度剖析了安全问题的各种场景，能让PHP研发人员了解安全原理与安全风险，从而引导研发人员对PHP项目安全问题进行思考，提高安全意识和技能。据万维网技术调查（W3Techs）统计，全球80%的Web系统是使用PHP语言研发的，可见，从代码安全的角度做好PHP项目的意义重大。此外，目前市场上专业的安全技术类图书大多是面向信息安全人员的，面向研发人员的非常少，研发教程类图书基本上缺乏关于安全问题的章节，可以说本书将帮助PHP从业人员提高对PHP项目安全的认知。

栾涛与我在360企业安全集团共事期间，全程参与了漏洞扫描、安全防护、系统监控等产品研发项目，正是因为他在这些项目上的深厚积累，使得他具备了良好的安全意识与技能。客观地说，他主导研发的系统几乎很难找到安全漏洞。我曾鼓励他将安全经验整理成书，今日得知书成，特为之作序，颇感荣幸与欣慰。

我相信这本书会给广大研发人员带来很多帮助，从而为互联网安全状况的改善发挥积极作用。

欧怀谷

奇安信集团 副总裁