有许多PHP框架可供选择,其中包括:
Zend
CakePHP
CodeIgniter
Symfony等等……
这些框架大多数都会处理哪些与安全相关的问题?
(据我所知,如果使用它们的方法,大多数框架都能处理跨站脚本(XSS)漏洞。它们还处理哪些其他问题?)
除了在项目中使用框架之外,还需要注意哪些安全问题?
编辑:在我的情况下,我正在使用CodeIgniter框架。
有许多PHP框架可供选择,其中包括:
Zend
CakePHP
CodeIgniter
Symfony等等……
这些框架大多数都会处理哪些与安全相关的问题?
(据我所知,如果使用它们的方法,大多数框架都能处理跨站脚本(XSS)漏洞。它们还处理哪些其他问题?)
除了在项目中使用框架之外,还需要注意哪些安全问题?
编辑:在我的情况下,我正在使用CodeIgniter框架。
[垃圾邮件]
我之前创建了一个小的概述表格:http://matrix.include-once.org/framework/,其中包括有关Web应用程序安全基本要素的几个摘要:
如果我想概括一下,大型框架确实涵盖了很多内容。因此,真正的问题变成了业务/处理层面上的逻辑疏漏。
这是一个有点模糊的问题,完全取决于你所谈论的框架。
你列出的所有框架都使用某种形式的数据库抽象层,无论是简单的查询构建器还是更大的ActiveRecord/ORM实现。这些数据库抽象层将在大多数情况下防止SQL注入。
CodeIgniter提供了一个加密类,可以帮助你生成密码和随机字符串。在你的主配置文件中有一个“加密密钥”,它将特定于你的应用程序。这意味着你的应用程序将与另一个应用程序具有唯一的盐值,因此如果有人获得了你的数据库副本或访问权限,他们将无法解密密码。
每个框架都有很多其他特定的安全功能,但这些是基础知识。