Tôi đang nghĩ đến việc sử dụng CakePHP để xây dựng một ứng dụng web. Câu hỏi của tôi là bao nhiêu công cụ bảo mật tôi sẽ phải tự viết mã để ngăn chặn (SQL injection etc)? Những thứ bảo mật nào mà CakePHP tự chăm sóc và tôi sẽ phải viết mã gì?bảo mật CakePHP
Trả lời
CakePHP chính nó là khá tốt ở đó, bạn sẽ không phải lo lắng về những gì được gửi. Nhưng nếu bạn đang sử dụng dữ liệu, tất cả mọi thứ sẽ được tất nhiên không thoát. Vì vậy, một mẫu được xây dựng từ các lớp Helper sẽ được XSS an toàn, nhưng một khi bạn đang in ra những gì int $ this-> dữ liệu bạn phải biết và chăm sóc để thoát khỏi nó. h() là một bí danh thường được sử dụng cho htmlspecialchars().
CakePHP không có bảo vệ chống XSRF ngoài hộp.
Đối với ACL, nó cung cấp cho bạn một số thành phần.
Để chắc chắn nó phụ thuộc vào phong cách mã của bạn là gì và hiểu biết của bạn về khung làm việc. Để chắc chắn nếu bạn đang sử dụng chức năng CakePHP để lưu trữ dữ liệu, nó sẽ được khá nhiều ok.
Nhưng hiện tại tôi đang làm việc trên một ứng dụng "CakePHP trả phí" cách xa mã bảo mật :) Vì vậy, nó thực sự phụ thuộc từ nhà phát triển.
bánh có nhiều thứ tự động nhưng một số thì không. tùy thuộc vào mức độ an toàn bạn muốn bạn tạo biểu mẫu, bạn cũng nên xem xét "danh sách trắng": details
phương pháp dễ nhất là sử dụng thành phần bảo mật.
Bánh cung cấp các tính năng riêng của nó như Xác thực dữ liệu, mẫu mã MVC, Bộ điều khiển, Thành phần Auth, Quy trình cấu hình tự động và cũng là thành phần Bảo mật. Vì vậy, nó không phải là một điều phải lo lắng về, Nếu bạn không hài lòng với điều này và muốn thêm thành phần bảo mật của riêng bạn, hãy xem qua blog: http://goo.gl/ZoQzLx
Bảo mật trong bánh có thể được kích hoạt với vài dòng mã và sử dụng nó Trong các lớp học.
Đối với Sql bảo vệ tiêm
- sử dụng cakephp $ this-> tìm sẽ tự động khử trùng thông số của bạn, nhưng nếu bạn muốn sử dụng truy vấn liệu bạn vẫn có thể khử trùng dữ liệu của bạn sử dụng Sanitize :: thoát() phương pháp
Để bảo vệ CSRF
- bạn có thể kích hoạt nó app/Controller/AppController.php
`` `
public $components = [
'Security' => [
'csrfUseOnce' => false,
'csrfExpires' => '+1 hour',
],
];
` ``
Đối với XSS
- nếu có thể, luôn luôn sử dụng cakephp Mẫu Helper (http://book.cakephp.org/2.0/en/core-libraries/helpers/form.html)
- khi dữ liệu của bạn là từ trường văn bản, luôn in bằng cách sử dụng h() (Text to quấn qua htmlspecialchars)
https://book.cakephp.org/2.0/en/core-libraries/components/security-component.html
- 1. Bảo mật CakePHP
- 2. Bảo vệ mật khẩu CakePHP bằng htaccess và htpasswd - howto?
- 3. Vô hiệu hóa bảo mật biểu mẫu CakePHP
- 4. xác thực mật khẩu cakephp
- 5. Các tác động của việc sử dụng bảo mật 'thấp' trong CakePHP là gì?
- 6. Bảo mật của Grails
- 7. Phiên bảo mật Java
- 8. Bảo mật danh bạ
- 9. Gốc bảo mật PHP
- 10. Bảo mật Python intepreter?
- 11. Bảo mật trong backbone.js?
- 12. Bảo mật phiên?
- 13. Bảo mật phiên PHP
- 14. Bảo mật nguồn PhoneGap
- 15. Trường bảo mật Mongoose Schema
- 16. Bắt đầu bảo mật web?
- 17. Rủi ro bảo mật Javascript?
- 18. Cảnh báo bảo mật IE8
- 19. Bảo mật jQuery Mobile + Phonegap
- 20. Bảo mật mùa xuân @RequestBody
- 21. Bảo mật cookie và phiên
- 22. Vấn đề bảo mật Socket.io
- 23. Bảo mật DB Web HTML5
- 24. Bảo mật Mongodb trong node.js
- 25. Kiểm tra bảo mật Java
- 26. Xác thực bảo mật WCF
- 27. Bảo mật phiên mã hóa
- 28. Chuỗi bảo mật trong APK
- 29. Câu hỏi bảo mật PHP?
- 30. Bảo mật REST và JSON
http://book.cakephp.org/view/1296/Security-Component –