我正在开发php / mysql中的社交网络应用程序,我想听听你对什么是更好的实现安全性的方法的建议。我正在计划这样的事情: - 在演示级别,我限制用户仅查看他有资格看到他有资格获得的权利的项目/内容 &安培; 在数据库级别,每当我的数据被读/写或更新时,我都会验证该人是否有权与这部分数据进行此类交互。 因此,对于每个动作,在视图级别有两层安全性。另一个在数据库级别。 双重检查是否需要很多开销?
当然只处理内部安全问题..
答案 0 :(得分:2)
谁知道当前的用户?
如果业务层不知道当前用户是谁,则无法执行任何访问控制。相反,演示文稿必须每次询问授权组件是否允许特定用户执行特定操作。还行吧。如果表示层基本上执行一些定义良好的用例。
如果业务层 知道当前用户是谁,那么它可能会询问授权组件本身对从表示层到达业务层的呼叫。但是,这引入了许多冗余检查。还行吧。如果表示层使用业务层的实体对象或安全性至关重要时做了很多很好的事情。
答案 1 :(得分:0)
就我建议使用Mandatory Access Control的权限模型而言,因为它考虑了群组。 (RBAC是值得注意的另一个模型,但它没有组。)
但是在一天结束时,安全性实际上是一个代码质量控制问题。您可以实施最强化的RBAC,并且可以通过单个XSS / XSRF / SQLi漏洞完全绕过它。