Cod*_*alk 10 php security frameworks codeigniter web-applications
我正在尝试选择一个提供非常好的Web应用程序安全性的框架,尽可能地防范OWASP Top-10,例如:
事情是我已经尝试过非常重要的研究:Cakephp,Zend,Yii,Code Igniter,Kohana和一些人有基本身份验证,可能是一点点授权,但对于任何需要可靠代码安全性的应用程序都没有.
上面的大多数漏洞类型目前只通过在这些框架中编写自定义代码来保护吗?
这是我第一次使用框架的经验,到目前为止一切都是自定义的php web应用程序.我对php-frameworks的全部想法是,它很容易防范这些漏洞,因为它不是本机的,为什么要使用它?或者是否有一个框架,我没有看到哪个比上面列出的强大的Web应用程序安全性更好?谢谢
fdr*_*ger 12
安全性不能应用于像某个胶合代码的应用程序.每种安全问题都以其他方式处理,大多数PHP框架提供了编写安全代码的工具:
打击HTML注入/ XSS需要使用模板引擎(如Twig),默认情况下会转义值,或者是组件驱动的方法来显示HTML.如果您允许人们上传他们的文件并让他们从您自己的域中提供服务(您必须使用单独的域),任何框架都不会对您有所帮助;
您可以使用转义查询参数的db帮助程序来避免SQL注入; 你提到的每个框架都提供了那些(当然你可以使用普通的PDO);
您可以使用会话绑定令牌来对抗CSRF.每个框架提供一些解决方案 但是,在每种情况下,您都必须以某种方式协助框架(通过向每个表单添加一个标记或使用框架提供的表单抽象).
所以在某种程度上 - 是的,你必须考虑安全性.我不认为任何PHP框架可以做他们已经做过的任何事情,除非有一个主要的范例转换,让我们通过在屏幕上拖动彩色框来设计应用程序,而不是触及脏或不安全的东西,如HTML或SQL.你期望得到什么样的支持?
我也说尝试CodeIgniter.
CodeIgniter也很容易使用,如果你是第一次使用框架,并有一个很好的用户指南,这是非常容易理解的.