Ich bin neu in der Sicherheit von Web-Anwendungen. Ich entwickle eine Anwendung in CakePHP und einer meiner Freunde erzählte mir von den Cross-Site Request Forgery (CSRF) und Cross-Site Scripting (XSS) Attacken etc. nicht sicher, wie viele mehr es gibt.CakePHP Security
Ich brauche etwas Hilfe zu verstehen, wie Cakephp meine Web-App gegen diese zu verteidigen. Wir haben ein niedriges Budget und wir können keinen Sicherheitskonsulenten einstellen. Wir entwickeln immer noch die App und planen, sie bis Ende des Monats freizugeben. also willst du auf die anfänglichen Sachen aufpassen, die mir helfen können, nicht gehackt zu werden;)
Dank für einen Crash-Kurs auf Sicherheit. eine Frage bei der Verwendung von HTML Helpers doesnt - htmlspecialchars() und mysql_real_escape_string() passieren automatisch? –
Bei Verwendung von HTML-Helfern wird 'htmlspecialchars()' standardmäßig verwendet, yes, es sei denn, Sie setzen '' escape '=> false'. mysql_real_escape_string() 'ist das nicht, da es keinen Sinn ergibt, SQL-entweichende HTML-Ausgaben zu erhalten. Das muss geschehen, wenn Sie mit der Datenbank sprechen (und wird automatisch ausgeführt, wenn Sie das ORM verwenden). 'htmlspecialchars()' wird benötigt, wenn Sie Inhalte ohne Hilfsprogramm ausgeben, z. B. Inline-Formulare ohne Inhalt. z.B. '
Hallo, Php echo htmlspecialchars ($ name); ?>!
'. – bobince"Es ist sehr bedauerlich, dass das CakePHP-Tutorial die schlechte Praxis beinhaltet, nicht dekapierte Strings in HTML für Text außerhalb von HTML-Helfern zu spiegeln" Ich stimme zu - auf diese Weise ist vielen nicht bewusst, dass dies wirklich schlecht ist. – mark