Какие преимущества предоставляют фреймворки PHP с точки зрения безопасности?

Question

Существует множество PHP-фреймворков для PHP, а именно -

• Zend

• CakePHP

• CodeIgniter

• Symfony

  и т. Д.

Какие вопросы, связанные с безопасностью, принятызаботится о большинстве фреймворков?

(насколько я знаю (межсайтовый скриптинг (XSS)) уязвимость устраняется большинством из них, если мы используем там методы. Какие другие проблемыбольшинство из них позаботились?)

Наряду с использованием фреймворка в проекте, о каких других проблемах безопасности следует позаботиться?

РЕДАКТИРОВАТЬ : В моем случае я использую рамки codeigniter.

Answer 1

[спам]
Некоторое время назад я создал небольшую обзорную таблицу: http://matrix.include -once.org / framework / , которая включает в себя несколько сводок об основных краеугольных камнях безопасности веб-приложений:

• экранирование БД / или параметризованный SQL (например, через ORM)
• фильтрация / очистка входных данных
• кодировка вывода
• хэш-функция авторизации (еслилюбой)
• разделение внешнего интерфейса и административного бэкэнда (не завершено, в основном н / д)

Если я хочу обобщить, большие фреймворки действительно охватывают многое из этого.Таким образом, реальные проблемы становятся логическим упущением на уровне бизнеса / обработки.

Answer 2

Независимо от того, сколько внимания и усилий было уделено обеспечению безопасности среды PHP, реальность такова, что всегда есть возможности для совершенствования, и даже несмотря на то, что такие среды, как Codeigniter, обеспечивают XSS, фильтрацию ввода, проверку запросов, абстракцию базы данных и другиехорошие вещи, всегда будут ошибки и проблемы.

Никогда не полагайтесь исключительно на встроенные в платформу методы защиты.Всегда читайте, как фреймворк что-то делает, понимайте логику, а затем переписывайте, чтобы удовлетворить ваши потребности, если вы обнаружите, что что-то не так безопасно, как должно быть.

Однако, сказав выше, я использовалCodeigniter в течение нескольких месяцев и на нескольких высококлассных сайтах с высокой посещаемостью, и я не могу сказать, что у меня возникли какие-либо проблемы безопасности или нарушения.Единственное истинное преимущество фреймворка, когда речь заходит о безопасности, - это то, что он, вероятно, защищает вас от какой-то атаки, о которой вы даже не подозревали (это потрясающий бонус).

Узнайте, какCodeigniter и другие платформы решают проблемы безопасности и защищают ваши приложения, вы обнаружите, что они укрепят ваши знания в области разработки и принесут пользу вам в будущем, когда вы будете писать крупномасштабные приложения, требующие строгой безопасности и высокой надежности.

Answer 3

Ну, это немного неопределенный вопрос, поскольку он полностью зависит от того, о какой платформе вы говорите.

Все перечисленные вами фреймворки используют какой-то уровень абстракции базы данных, будь то простойпостроитель запросов или более крупная реализация ActiveRecord / ORM.Эти уровни абстракции базы данных в большинстве случаев останавливают внедрение SQL.

CodeIgniter предоставляет класс Encrypt, который поможет вам генерировать пароли и случайные строки.В вашем основном конфигурационном файле есть «ключ шифрования», который будет специфичен для вашего приложения.Это означает, что ваше приложение будет иметь уникальную соль для другого приложения, поэтому, если кто-то получит копию / доступ к вашей базе данных, он не сможет определить пароли.

Существует множество других функций безопасности.специфичны для каждой структуры, но это основы.