我是 Laravel 5.1 开发项目的新手
我想了解如何避免安全风险。 Laravel 可以保护哪些类型的攻击?什么样的攻击 Laravel 是不安全的?
使用中间件是处理授权的好方法。
我知道 Laravel 对于 CSRF 攻击是安全的。
有什么我应该知道的吗? SQL注入怎么样? Laravel 安全吗?
简短的回答
Laravel 5.1 默认在 SQL 注入、CSRF 和 XSS 方面得到了很好的保护。
更多细节
我认为,您应该注意的是:
1- 不仅 Laravel 独自负责您的 Web 应用程序安全,而且还负责它周围的环境。
- Web 服务器应配置正确且安全。
- 在您的域中使用 SSL(证书)是一个优势。
- 仅使用 SFTP over SSH 进行文件传输,并且仅使用 SSH 进行控制台连接。
- 使用受信任的提供商和物理安全的服务器环境。
- 定期备份您的文件和数据库,并将数据移出您的提供商服务器位置。
- 为 SSH 控制台、数据库或其他服务设置不同的用户名和密码。
- 对于 SSH 访问和数据库访问,不要经常使用 admin 或 root 用户名,仅将其保留以供紧急使用,而是创建一个子管理员/root 帐户并使用它。
2-最重要的是,当您在 Laravel 上进一步开发时,您可能会冒着执行不良编程的风险,这会破坏 Laravel 的默认安全规则。
结论
因此,建议不要依赖默认安全性。项目完成后,您需要进行自己的渗透测试,以确保一切正常运行并按计划安全。并遵循一些简单的安全规则,那么您就完全安全了。
我建议您查看此链接CSRF正如@ImtiazPabel 评论link.
最后这个链接值得检查:
- https://www.owasp.org/index.php/Top_10_2013-Top_10
- https://www.owasp.org/index.php/OWASP_Proactive_Controls
- https://www.owasp.org/images/9/9b/OWASP_Top_10_Proactive_Controls_V2.pdf
EDIT
OP在评论中问道:
我们可以说 Request::get($data) 是完全安全的吗?
Request::get($data)
也是安全的。
Note
几个月前,我和另外 3 个人做了一个原始项目来测量 Laravel 5.1 的安全级别,它成功通过了,没有任何值得注意的评论。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)