Witam, zaczałem pisać książkę(tak, tak związaną z PHP), mam już kilkadziesiąt stron i wysłałem przykładowy rozdział do Helionu. Powinni mi odpowiedzieć niebawem co i jak. Zastanawiam się jednak czy Helion to najlepsza opcja. W zasadzie to wydawcą może być nawet i mój współlokator prowadzący własną firmę(jedną już książkę wydał) jednak zależy mi na zapleczu marketingowym, dobrej dystrybucji etc.

1. Znacie inne dobre wydawnictwa?

Nie podano mi konkretnych danych w kwestii rozliczania się(te są chyba tajne oraz indywidualne dla każdej pozycji). Wiem, że będę otrzymywał tantiemy od każdej sprzedanej pozycji.

2. Jaki procent waszym zdaniem jest ludzki. Ja rozumiem, że nie dostanę dużo ale ile(mniej więcej) waszym zdaniem powinienem zgarnąć złotych od każdego egzemplarza?

To ile złotych dostaniesz zależy chyba też od ceny samej książki.

Z tego co mi się obiło kiedyś (kilka lat temu) o uszy to możesz spodziewać się 2-4% .

@fifi209:
rozumiem, lecz zawsze można to jakoś wykalibrować

2% z powiedzmy 50zł to raptem 1zł. Aby normalnie zarobić helion musiałby sprzedać z 6tys. sztuk. Czy to realne?

Nie sądzę.. aż takiego zainteresowania to raczej nie ma...

#edit
Zależy o czym piszesz

W skrócie PHP+Hacking

Z tego co kiedyś mi na studiach jeden z profesorów wspomniał, to zazwyczaj jest jednorazowa wypłata określonej gratyfikacji i na tym się kończy. Nie dostajesz za ilość sprzedanych egzemplarzy, ale z tego co pamiętam procent od wielkości nakładu. Im wyższy, tym większa kwota dla Ciebie. Na procent od sprzedanych egzemplarzy nie licz. Możesz jedynie w przyszłości, gdy będzie taka popularność książki, że będzie dodruk, liczyć na dodatkową gratyfikację.

Popyt to jakiś ma na pewno ale patrząc na poziom książek z tej dziedziny otwiera mi się nóż w kieszeni i włącza mode niszczenia tego typu "broszur".
Zawsze skłaniam się do specjalistycznej literatury konkrernie na jeden temat a nie tak szeroko pojętego jak strony www. Co do bezpieczeństwa stron www to nie sądzę, czy chociaż liżniesz coś porządnego z tej dziedziny. O sql injection to nawet moja mama słyszała.

@thek: wszystko jedno, a nawet lepiej bo dostąnę pieniądze od razu.

Pani z helionu mi napisała:


@wookieb: ojj zdziwiłbyś się... Zgadzam się, że poziom na polskim rynku jest srasznie niski wręcz zerowy...

O tym wiele nie napiszesz + trudno będzie ci się przebić przy obecnej ilości książek o php czy bezpieczeństwie www.
Lepiej byś coś napisał o js/canvas, z twojego blogu wynika że wiedzę posiadasz a książek o canvas nie ma więc masz monopol.

Też o tym myślałem lecz o bezpieczeństwie można więcej napisać mniejszym nakładem pracy. Poza tym tutaj też monopol w pewnym sensie będę miał. Są 2 książki które nic konkretnego nie zawierają...

Tak aby rozjaśnić co nieco. Oprócz strandardowego (Blind)(Reverse)SQL Injection, XSS, ataków na sesji, nagłówki, LFI itp. chcę pokazać trochę bardziej skomplikowane rzeczy typu: zaglądamy w kod źródłowy php, sprawdzamy jak jest napisana funkcja getimagesize(), sprawdzamy specyfikacje formatu GIF, preparujemy avatar tak aby funkcja identyfikowała go jako poprawny obrazek, ale żeby jednocześnie wstrzyknąć kod PHP.

PHP+Hacking to dosyć ogólnie ujęta tematyka książki... Chcesz po prostu opisać zagrożenia z punktu widzenia dewelopera, a może coś głębszego - przykładowe ataki, dużo przykładowego kodu, itp.?

edit: Tego postu nade mną nie było, gdy to pisałem Dzięki za odpowiedź!

Ludzie, a co wy się tak go tak czepiacie. ~SHIP zadal pytanie, a wiekszosc pisze ze nie trafil z tematem. Ja bym w sumie nawet o tym poczytal ale raczej nie wydalbym kasy na ksiazke.

jak napiszesz to wystaw na allegro , chetnie poczytam o php zwiazanym z hackingiem i przykladowe przyklady dziur xss,sql

Ja dodam na zachętę : ), że z chęcią przeczytam (i kupię!) jak będzie wnikliwa i w przystępnej cenie (chociaż drugi warunek da się wybaczyć w przeciwieństwie do pierwszego).

Pozdrawiam i trzymam kciuki za przyszły bestseller.

Ps. Tak z ciekawości... ciekawe czy można wydać książkę i oddać ją jednocześnie jako pracę magisterską (lub inną) na studiach.
Ps2. A co do trafności w rynek to pamiętajcie nie tylko o starych wyjadaczach, ale także o młodych wannabe hackerach ; )

Fantazyn: Ja słyszałem tylko o przypadkach wydawania jako książkę prac magisterskich. Na wniosek promotora, który uznał ją za interesującą. I masz rację co do ceny. Mając dobrą książkę wybaczy się mniej atrakcyjną cenę autorowi/wydawnictwu.

Co do wyjadaczy i wannabe to przykro mi, ale chcąc być hackerem musisz wiele sam się nauczyć i do tej wiedzy i tak dotrzeć. Prawdę mówiąc dobry programista pisze kod prawidłowo. Bardzo dobry programista wie o niebezpieczeństwach i lukach w swoim kodzie czy też błędach języka, narzędzia używanego i im przeciwdziała na ile potrafi. Hacker zaś to takie wyższe stadium bardzo dobrego programisty. Zna on to co bardzo dobry programista, ale dodatkowo obudowane w jeszcze większa wiedzę na temat nie tylko narzędzi i języków, ale także kompilatorów, interpreterów, systemów operacyjnych i nie tylko zna luki, ale i sam aktywnie potrafi je znaleźć i wykazać ich istnienie poprzez pisanie proof-of-concept. Nie wrzucajmy więc do jednego wora, hackera, crackera i script-kiddie Hacker to pojęcie inne niż chce mu się przypisać w literaturze "sensacyjno-publicystycznej"

Szczerze mówiąc na polskim rynku nie ma zbyt wiele książek o bezpieczeństwie PHP z tego co wiem to 2-3 książki z tego 2 to 150 stron w formie leksykonu, jeżeli książka wyjdzie to napewno ja kupie, jeżeli książki ci sie nie uda opublikować to możesz sprzedawać w formie E-Booka z chęcią kupie powiedzmy cena 15 zł i dałbyś przykładowo 1 rozdział do przeczytania, żeby kupujący mógł podjąć decyzje, aa ze helion nie sprzedaje e-booków to mnie dziwi chyba boją sie piractwa

Ahh, za e-booka też bym zapłacił z 15zł Chciałbym przeczytać jaką wiedzę reprezentujesz :] i wtedy można książkę oceniać.

Co do książek będących pracami magisterskimi to też słyszałem jedynie o sytuacji, jak praca mgr została opublikowana, np. Biografia Lecha Wałęsy - Pawła Zyzaka. A co do odwrotnej sytuacji - myślę że nie byłoby większego problemu jeśli tylko taka forma byłaby akceptowana. U nas prace dyplomowe musiały mieć konkretny schemat - wstęp i opis ogólny tego o czym się pisze, rozwiniecie/badania, stwierdzenia i wnioski, literatura plus do tego streszczenie pracy - czyli mniej więcej taka praca mgr odpowiada schematowi przeciętnej książki.

A kiedyś poznałem osobę, której projekt strony internetowej był głównym elementem pracy inżynierskiej (nie z informatyki a z jakiegoś innego technicznego kierunku, oczywiście chodziło o część merytoryczną - w fazie obrony pracy była prezentowana treść i forma strony).

Wracając do tematu to dobrze jak nie zaniedbasz przy tym aktualnych standardów sieciowych dotyczących np. (x)HTMLa (bo wiadomo że ten język jest niemal nierozłącznym towarzyszem PHP), niektórzy uważają, że jak ktoś pisze o PHP to ma prawo nie znać standardów, wg mnie takie myślenie jest śmieszne, to tak jakby publikować książki z błędami ortograficznymi (juz nie mówię o nowościach - ale żeby chociaż o semantyce kodu pamiętać).

Także SHiP jak sam widzisz, na samym forum już ~10 egzemplarzy spokojnie sprzedasz

To jest chyba sprawa oczywista jednak w przypadku np. ataku XSS opiszę wszelkie formy umieszczenia kodu JS na stronie łącznie z tymi typu onclick=alert(1)

1. Jeśli piszesz bez problemów po angielsku to PacktPub i Apress IMO najlepsze wydawnictwa na rynku.
2. nie oszukujmy się - im więcej tym lepiej, podczas negocjacji (jeśli w ogóle takowe będą) zaczynasz od wysokiego procentu i - wg przygotowanej wcześniej strategii negocjacyjnej - schodzisz w dół tak, aby spotkać się mniej więcej w połowie stawki z ludźmi po drugiej stronie stołu (negocjacyjny klasyk).

// edit
Właśnie pomyślałem, że możny byłoby rozpisać konkurs na forum, w którym nagrodą byłoby wydanie książki, ale to czysty abstrakt, bo przecież musiałoby się znaleźć kilku sponsorów.

A no już nie wątpie, właśnie wszedłem na Twój blog i przyznam, że często czytałem i nawet polecałem Twoje artykuły, tylko teraz nie wiedziałem że to Ty;)

@Drako: gdybym umiał płynnie pisać po angielsku to bym nie kombinował z helionem. Tym bardziej, że książki za granicą są droższe a rynek dużo większy

@Volume: dzięki, miło to słyszeć

Wracając do tematu. Ile powinienem zażądać za napisanie takiej książki? Jak sądzicie?

Trudno powiedzieć nie znając nawet spisu treści
Większej ceny mógł byś się domagać jeśli masz w swym dorobku np. artykuły w magazynach tematycznych , jakieś zwyciężone konkursy na najlepszy artykuł itd. to by zapewniło wydawce że twoja książka się sprzeda .

Jeśli autor dostaje 2-4% z każdego egzemplarza to to jest co najmniej śmieszne. Jasne jest, że to wydawnictwo dużo wkłada - druk, reklama, rozprowadzanie etc. ale żeby tylko 4%? Niemożliwe.
To tutaj http://www.escpartners.pl/ wchodząc w program partnerski jako serwis, za każdą sprzedaną za naszą sprawą książkę dostaje się 5%. Więc 4% dla autora są mało realne.
Ogólnie ja bym chyba kombinował wydruk pierwszego nakładu z jakąś drukarnią i reklamę + sprzedaż na własną rękę.

Co do książki to fajna sprawa. Powodzenia w pisaniu

Dzięki, ja liczę również na to, że marketing helionu w pewien sposób przyciągnie programistów na mój blog. Poczekam na odpowiedz te 2-4% mi również wydają się śmieszne...

Ja oceniam, że za książkę o standardowej objętości dostaniesz między 7 a 12 tysięcy.
Kiedyś wydawałem trochę artykułów i miałem współudział w 2 książkach. Z tego co pamiętam to była na stałe określona kwota za wydanie. Przy wznowieniu pieniądze były wypłacane ponownie (ale trzeba było nanieść drobne poprawki). Z tego co pamiętam to dostawałem ~700zł za arkusz drukarski czyli jakieś chyba 8 stron a4 bez grafiki - było to jakoś dziwnie przeliczane z ilości znaków, więc dokładnie Ci już teraz nie powiem. Wydawnictwo w którym ja pisałem to było jakieś małe niszowe, na pewno nie był to helion.

Kokosów z tego bym się nie spodziewał, ale z drugiej strony jeśli pisanie daje Ci frajdę to nawet dla samej radości posiadania książki w swojej twórczości warto. No i ładnie w CV będzie wyglądać ;-)

Pomysły typu "wydaj książkę sam" wyrzuć do kosza i zapomnij o tym. Jeśli ma być to jednorazowa akcja to zdecydowanie helion lub ewentualnie mikom czy coś w tym stylu. Robiąc wszystko na własną rękę skończysz z długami i nakładem książek w piwnicy bo pewnie ich nawet nie uda Ci się samodzielnie wstawić do znaczących księgarni typu Empik ;-)

//edit
PS. gratuluję pomysłu i pasji. Pochwal się jak już coś ruszy do przodu. $klienicNaKsiazkeShipa++ :-)

Ja bym się na Twoim miejscu zastanowił, czy na pewno masz odpowiednią wiedzę do napisania takiej książki. Jeżeli to ma być (kolejne) arcydzieło na temat XSS, SQL Injection, LFI/RFI, itd to ja dziękuję bardzo za taką książkę . Potem po takich rzeczach chodzą programiści i z nimi taka rozmowa:

- No to panel administratora jest mój
- Jak to?! Jak?!

Mówię tutaj o pisaniu na temat bezpieczeństwa stron www i to nie tylko od strony PHP. Jakby to miało być od samego PHP to zwyczajnie nie warto kupować na ten temat książki.

@pyro: co masz na myśli? Oczywiste jest, że napiszę trochę na temat socjotechniki, szyfrowania, haseł etc. ale nie mam zamiaru opisywać np. debugowania "zwykłych" programów, dziur przepełnienia bufora, dziur typu ARP Spoofing czy udawaniu serwera DNS. Książka by urosła do ogromnych rozmiarów. Zresztą ja nie mam aż tak wielkiej wiedzy aby pisać o plikach exe i łamaniu ich zabezpieczeń, bo po prostu się tym nie interesuję.

Narzekacie a nie wiecie nawet co z tego wyjdzie Ja z chęcią kupie książkę

Dla początkujących osób taka książka może być naprawdę wielkim źródłem wiedzy. Ostatnio przygotowywałem taki mniejszy wykładzik do szkoły na temat bezpieczeństwa, skupiłem się akurat na socjotechnice oraz łamaniu haseł metodą bruteforce z racji tego, że łatwo to było zaprezentować a widownia nie posiadała żadnej wiedzy na temat sql php czy jakiegokolwiek języka, więc odpadało to o czym pisze SHiP

Pisz pisz, może coś z tego wyjdzie. Tylko cene wymuś później jakąś normalną

@SHiP trzymam kciuki. Również chętnie kupie i przeczytam książkę.
Jak już wcześniej było powiedziane uważaj żeby nie zniknęła ona pośród innych pozycji tego typu. Na pewno czytałeś podobne książki i wiesz co jest w nich nie tak, jak pokazał niedawno temat o książce pana Gajdaw -a, blog każdy zna a książka spotkała się z krytyką ze strony odbiorców.
Proponuje Ci żebyś założył temat w którym będą ludzie pisali jakie informacje i w jakiej formie powinny się w niej znaleźć.


Tak tylko jako OT dodam że, w jednym z postów twojego autorstwa przeczytałem że nie kręci Cię php, więc w pierwszej chwili pomyślałem OCB. Też jestem zdania że bardziej do ciebie i twoich zdolności pasuje temat HTML5 / CANVAS/ JS.

Pamiętaj że jak wydasz książkę to na spotkaniu forum będziesz je podpisywał wywiady, wizyty w zakładach pracy itp

Dzięki wszystkim za trzymanie kciuków .

@skworon-line: nie chodzi o to, że nie lubię PHP. Po prostu nudzi mnie tworzenie n-ty raz cms-a pod stronkę firmową. Wolę jakieś wyzwania. Stąd aktualnie projekt gry w technologi html5 .

Wydaj to poprowadzimy nadal temat. Osobiście wątpię, aby książka jaką wydasz była na solidnym poziomie ale to moje zdanie.
Wydaje mi się, że napaliłeś się jakimś sukcesem przez co takie pomysły przyszły Ci do głowy natomiast wydanie porządnej książki to nie wynik wygranej w konkursie szkolnym lecz lata doświadczeń oraz nabycie informacji które są trudno dostępne, bądź niedostatecznie wyjaśnione.
Mam na myśli oczywiście porządne pozycje a nie "mysql i php - 1001 porad" (czytaj LFI, sql injection)

ARP spoofing, pliki exe raczej niewiele mają wspólnego z bezpieczeństwem stron www. Miałem na myśli to, że po prostu opisanie po raz n-ty czym jest RFI czy XSS i jak z tego korzystać to dużo za mało.

Generalnie sprowadza się to do tego, że mam podobne zdanie jak @wookieb

o hmtlu 5 tez bys mogl poswiecic rozdzial na wprowadzanie , tak samo jak , w php jak pisac a jak nie , jakie nawyki sa dobre z poczatku a jakie zle , podstawowe operacje na bazach danych , albo np. od poczatku ksiazki jakiegos cmsa tworzyc do jej konca , z wykorzystaniem php,mysql+xhtmla,htmla5 na koncu moe byc rozdzial;p

Ja bym z checia kupil ksiazke nawet o samym htmlu 5

A mi się wydaję, że nawet dobrze (przystępnie) napisana książka z podstawami okraszona dużą ilością życiowych przykładów ma sens.

Nie oceniam wiedzy SHiP'a bo nie wiem na ile siedzi w tym temacie - lepiej pozostawić to osobom z heliona.

Wiesz... w książce o bezpieczeństwie stron www ja zamiast tego bym wolał, żeby napisał jak przyrządzić tiramisu.



No niestety ja bym Helionowi oceny merytorycznej książek nie zostawiał. Wiele jest dobrych książek, ale też wiele złych, ale i tak je sprzedają.

@SHiP - zdradzisz nam spis treści aby rozjaśnić co dokładnie tam będzie czy same xss , lfi czy coś więcej ?

Nie chcę zdradzać wszystkiego ale opiszę standardowo:
- sql incjection + blind sql injection w tym przykłady totalnie banalne jak i np. "jak wyciągać hasła zapytaniem update". Do tego coś co często jest pomijane tj. wyciąganie informacji o bazie, nazw tablic, pol w przypadku różnych baz danych
- xss z pełną listą przeglądarek oraz przykładowych kodów dla kazdej tj. gdzie jaka konstrukcja jest w stanie wywołać kod JavaScript. Tutaj szczególny nacisk na IE, które jest źle napisane i czasem różne "kwiatki" okazują się być poprawnym kodem JS mimo, że w ogóle go nie przypominają
- sesje - jeśli dobrze pamiętam artykuł to w zasadzie to co jest na planecie + przykłady. Sporo się nie da wymyśleć
- LFI, RFI w przykladach bardziej zaawansowanych - wykorzystywanie skrzynek pocztowych, procesów systemowych etc etc
- naglowki http i ataki z tym związane
- bezpieczenstwo zwiazane z plikami, jak przechowywac, jak uploadowac itp.

+ masa mniejszych rzeczy typu, przechwycanie drukarki, wykorzystywanie SQL do robienia zadymy w partycjach windowsowych, ClickJacking, coś na temat XPath, wywoływania poleceń systemowych, ataki DDOS
+ rozdzial na temat ogolnych zasad, socjotechniki, haseł, szyfrowania etc

Oczywiście do wszystkiego przykłady ataków + metody zabezpieczania się

Czyli tak jak się spodziewałem, generalnie niewiele. No ale co to będzie - wyjdzie w praniu

hmm mniej niż się spodziewałem
Daj coś o spamie i łamaniu captcha w praktyce...

@pyro: jeśli masz pomysł na coś więcej to pisz. Z moich obliczeń wychodzi około 500 stron tego co mam tutaj.

EDIT: jeśli chodzi o spam no to mam trochę o Cross site printing oraz E-mail injection. Dzięki za pomysł z captcha, bo to mi wyleciało z głowy.

To ja Ci rzucę 3 małe pierdółki, które możesz opisać jako ciekawostki:

- obciążanie maszyn klientów i liczenie czegoś tam na ich komputerach np. liczenie md5 tak jak to opisałem na moim blogu, dokładniej w tym miejscu
- stosowanie funkcji BENCHMARK w mySQL`u do zarżnięcia maszyny, oczywiście przez SQLI.
- Sprawdzanie historii przeglądania usera, opisane np. tutaj

Co do wiedzy SHiPa w tym kierunku, to pamiętam jak pojawił się tutaj topic w którym ktoś tam napisał jakąś tam gierkę netową i chciał żeby ją ocenić a ja skupiłem się właśnie na bezpieczeństwie i wytknąłem mu kilka luk, SHiP natomiast wyciągnął źródło i na PW pokazał mi jakim sposobem. Pewno SHiP kojarzysz akcję.
Przyznam, że atak był ciekawy (nie żaden standardowy), wcześniej nie spotkałem się z takim, a przyznam, że interesuje się trochę bezpieczeństwem (nie tylko webowym). Więc myślę, że książką będzie ciekawa

Nie doczytałem, czy nie ma u Ciebie XSRF? Proponuję o tym typie ataku napisać, jest to bardzo nieznany typ ataku, a szkody są po nim poważne, np. przejęcie konta, sprawdzenie IP bez wiedzy poszkodowanego. Ja chętnie kupię Twoją książkę

@#luk:
1. Dzięki za pomysł
2.To są właśnie ataki DOS tylko przez bazę danych. Benchmarka tez używam do sql injection
3. Pisałem o tym też u siebie http://srodek.info/blog/166/podglad-historii

O XSRF nie zapomniałem . Będzie o tym kilka stron. To co wypisałem wyżej to "między innymi" .

Imho taki sql injection nie jest nudny o ile nie przedstawia się prostych, klasycznych przykładów, które wszyscy znają i się po prostu przejadły.

PS: pamiętam tą "akcję"

Zapomniałem zapytać... Kiedy tak mniej więcej planujesz wydać książkę?

październik/listopad? Pod koniec lipca dostanę odpowiedz od helionu co i jak

@SHiP, czytałeś może tą książkę?
http://helion.pl/ksiazki/bezpieczenstwo_ap...ivan,bezapa.htm

Wydaje mi się, że wszystko to co chcesz opisać zostało już opisane w tej publikacji (choć głównie teoria). Jeśli zawrzesz w swej książce dużo praktyki to zapewne kupię

Nie czytałem jej, sprawdziłem właśnie spis treści i przykładowy rozdział(strasznie się ja czyta!). Spróbuję ją zakupić bo kilka rzeczy brzmi ciekawie choć ta ksiażka zdecydowanie nie zawiera tego o czym ja chcę pisać . Tutaj autor głównie przedstawia dziury związane z AJAX-em oraz JavaScriptem.