作为一名Web开发人员,我使用的是PHP,我知道我必须担心安全性,但是当你使用框架时,你会继续使用很多代码和设计,但是你没有代码或设计例如我正在使用CakePHP。
答案 0 :(得分:9)
您应该始终遵守安全的基本原则:
哪种意思是:
使用框架并没有太大改变,除了:
作为旁注:你这样说:
有很多代码和设计 你转发,但你没有编码 或设计
考虑到您使用的是许多人使用的众所周知的框架,这段代码可能比您编写的任何代码都经过了更多测试/审核; - )
这是开源的一个优势,实际上:你不是唯一一个负责代码的人,而且很多人都看到了它 - 这意味着很多人的手已经增强了它。
答案 1 :(得分:4)
在处理应用程序中的安全性时,需要考虑很多事情。正如Pascal所说,使用一个让很多人看到它的流行框架是一个好主意。
我看到了与CakePHP有关的几个方面。
第一个问题是最终用户。你应该期望有人在你构建的每个页面上做一些愚蠢的事情。一些例子是:
其次,您必须关注处理代码和权限本身的攻击。例如:
第三,您应该关注管理页面的保护以及谁有权访问哪些内容。
我建议您阅读一些重要的组件并确保正确设置它们,以确保您构建了一个没有安全漏洞的应用程序。在进一步研究时,请查看其中的一些元素:http://book.cakephp.org/view/170/Core-Components
答案 2 :(得分:0)
我建议您查看ESAPI:http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API#tab=PHP
它本身不是一个框架,但确实包含了许多Pascal提到的问题的工具。