CakePHP:安全测试

Question

有没有人能推荐一个我可以用来确保我的网站安全的流程？我担心安全漏洞、未经授权的权限、XSS等。

Answer 1

这是一个负载很大的问题，因为安全性是一场永无止境的战斗。幸运的是，如果你遵循约定并坚持使用框架的方法，Cake会让保护你的应用变得非常容易。此外，由于不知道你的应用程序的性质，因此很难具体说明，所以我将介绍一些默认任务(不按重要性排序)。

首先，启用SecurityComponent。默认情况下，它可以保护您免受CSRF和表单篡改。它还提供了一些方法，您可以使用这些方法来帮助保护您的站点，例如需要HTTP方法或SSL。

然后，审核您的代码，并确保您使用的是数据库调用的内置find()方法。Cake转义输入以防止SQL注入。如果有手动查询，请确保保护它们不受SQL注入的影响。

最后，为您的授权编写测试。这将使您确信用户只能访问您允许他们访问的应用程序区域，并提供对您可能认为安全的应用程序区域的洞察，这些区域可以通过GET参数轻松访问。