我愿补充以下几点:

数字签名和数字证书是如何工作的 沙盒是什么

了解不同的攻击载体是如何工作的:

本机代码的缓冲区溢出/下溢/等 社会工程师 DNS欺骗 中间的人 CSRF/XSS等 SQL注入 加密攻击(例如:利用弱加密算法，如DES) 程序/框架错误(例如:github最新的安全漏洞)

你可以很容易地谷歌所有这些。这会给你一个很好的基础。 如果你想了解web应用程序的漏洞，有一个名为谷歌gruyere的项目可以向你展示如何利用一个正在运行的web应用程序。

另外，请务必查看OWASP前10名列表，以了解所有主要攻击载体/漏洞的分类。

这些东西读起来很吸引人。学习像攻击者一样思考将训练您在编写自己的代码时思考什么。

对用户的密码加盐和散列。永远不要将它们以明文形式保存在数据库中。

关于安全的一般信息，我强烈推荐阅读Bruce Schneier。他有一个网站，他的密码通讯，几本书，还做了很多采访。

我也会熟悉社会工程(和Kevin Mitnick)。

对于一本关于安全在现实世界中如何发挥作用的好书(而且相当有趣)，我会推荐这本优秀的(尽管有点过时)克里夫·斯托尔的《布谷鸟的蛋》。

为什么是重要的。 这都是关于权衡。 密码学在很大程度上分散了人们对安全性的注意力。

Mozilla的Web安全团队制定了一个很好的指南，我们在网站和服务的开发中都遵循这个指南。