【发布时间】:2012-04-04 17:48:54
【问题描述】:
是否有人建议我可以使用一个流程来确保我的网站安全?我担心安全漏洞、未经授权的权限、XSS 等...
【问题讨论】:
标签: security cakephp cakephp-1.3 cakephp-2.0
【发布时间】:2012-04-04 17:48:54
【问题描述】:
这是一个有内涵的问题,因为安全是一场永无止境的战斗。幸运的是,如果您遵循约定并坚持使用框架的方法,Cake 可以很容易地保护您的应用程序。此外,由于不了解您的应用程序的性质,很难具体说明,因此我将介绍一些默认任务(不按重要性顺序)。
首先,启用SecurityComponent。默认情况下,它可以保护您免受 CSRF 和表单篡改。它还提供了可用于帮助保护您的网站的方法,例如需要 HTTP 方法或 SSL。
然后,审核您的代码并确保您使用内置的find() 方法进行数据库调用。 Cake 转义输入以防止 SQL 注入。如果您有手动查询,请确保保护它们免受 SQL 注入。
最后,为您的授权编写测试。这将使您确信用户只能访问您允许他们访问的应用程序区域,并将深入了解您可能认为可以通过GET 参数轻松访问的应用程序区域。
【讨论】:
-
我一直遇到安全组件问题。当我启用它时,我遇到了几个问题,比如 AJAX。另外,我收到以下错误:
-
Undefined property: View::$Facebook -
<?php echo $this->Facebook->html(); ?> -
由于某种原因它没有附加助手。我对
SecurityComponent所做的唯一问题是黑洞请求,因为诸如删除复选框上的隐藏字段等。我从来没有搞砸过帮手。如果没有看到代码,就不可能说出为什么没有包含 Facebook 助手。