当前位置：文江博客话题详情

CakePHP 安全

发布于 2024-09-26 06:36:27 字数 209 浏览 0 评论 0原文

我是网络应用程序安全性的新手。我正在 Cakephp 中开发一个应用程序，我的一位朋友告诉我有关跨站点请求伪造（CSRF）和跨站点脚本（XSS）攻击等的信息，但不确定还有多少。

我需要一些帮助来了解如何让 Cakephp 保护我的网络应用程序免受这些攻击。我们的预算很低，目前无法聘请安全顾问。我们仍在开发该应用程序，并计划在本月底发布。所以想要处理最初的事情，可以帮助我不受黑客攻击；）

需要登录才能够评论，你可以免费注册一个本站的账号。

猫卆 2024-10-03 06:36:27

没有（也不可能）有一种工具可以让您部署后就不必再考虑安全性。部署诸如 CakePHP 的 Sanitize::clean 之类的“反 XSS”黑客技术将通过阻止有效输入来妨碍用户，同时仍然不一定使应用程序安全。输入过滤黑客充其量只是一种混淆措施，而不是安全漏洞的修复。

要拥有安全的 Web 应用程序，您必须从头开始编写安全的 Web 应用程序。这主要意味着，当您将字符串从一个上下文放入另一个上下文时，要注意细节。特别是：

任何时候您将字符串写入 HTML 文本内容或属性值时，请对其进行 HTML 转义 (htmlspecialchars())，以避免 HTML 注入导致 XSS。这不仅仅是可能包含攻击的用户输入问题，而是将纯文本放入 HTML 的正确方法。
当您使用 HTML 帮助器方法时，它们应该默认处理这些元素的 HTML 转义（除非您关闭 escape）；非常不幸的是，CakePHP 教程包含将未转义字符串回显到 HTML 中以获取 HTML 帮助程序之外的文本的不良做法。
任何时候您使用字符串值创建 SQL 查询时，都会对其进行 SQL 转义（使用适合您的数据库的函数，例如 mysql_real_escape_string）。
如果您使用 CakePHP 的 ORM 并且没有编写自己的 SQL，则不必担心这一点。
避免使用用户输入（例如文件上传名称）来命名文件系统上的文件（而是生成干净的唯一 ID）或作为 system() 命令的任何部分。
包含 Security 组件以添加表单提交令牌方案，该方案将阻止CakePHP 生成的表单上的 XSRF。