use*_*474 -2 security xss sql-injection symfony
我的网站上有文本框.此文本框使用form和post方法提供文本值.此表单在数据库中搜索特殊文本.如何确定sql injectin或xss的安全输入数据.
由于Symfony2中ORM数据库样式的性质,您自然会受到SQL注入的保护.与配置或Validator类设置的约束不匹配的数据在到达数据库之前将被拒绝.
数据在传递到请求类之前自动编码.XSS是不可能的,因为在接收端和输出端都没有数据是RAW形式,除非你指定它,在这种情况下你会否定内置安全性.
表单中的XSS不可行,因为Symfony默认情况下(使用表单类时)将在表单提交中创建CSRF令牌以验证请求的发件人.除非您专门禁用它们,否则它们将自动生成并包含在隐藏字段中.
symfony的内置功能只是第一步,最佳做法是使用Data Transformers确保您的数据具有您期望的格式和类型.
数据变换器:http://symfony.com/doc/current/cookbook/form/data_transformers.html
最后,在SQL注入的注释中,使用内置的"查询"构建器或使用DQL语言(如果使用的原则)是另一层安全性,以防止在使用高度自定义查询时进行注入.
| 归档时间: |
|
| 查看次数: |
2917 次 |
| 最近记录: |