PHP -框架、ORM、封装

Question

抛开编程语言/环境不谈，有没有很多开发人员在使用PHP、ORM框架的同时仍然遵守DAL/BLL的封装？我正在管理一个由几个开发人员组成的团队，我发现大多数框架都需要我进行日常代码检查，因为我的开发人员正在使用内置的ORM。

现在，我一直在使用一个工具自己生成类和CRUD，并为它们提供一个区域来编写额外的查询/函数。然而，正在发生的事情是，他们没有对数据权限进行适当的检查，或者允许在表单中操纵关键字段，从而造成了漏洞。

任何建议，除了获得一个新的团队和一种新的语言(我已经看到Python/Ruby框架有相同的问题)。

Answer 1

抛弃一个团队永远不是一种选择:相反，提高它！

安全研讨会，使他们更多地意识到这些issues.

• Introduce (或更好的:请他们介绍)更好地处理这些问题的代码指南(一个security-aware hungarian notation或prepared statements的使用是两个在代码审查的缺点-不要责怪他们忽视安全，只显示你发现的有问题的代码片段，并解释安全是非常重要的选择一个:这个项目/客户/你公司的声誉/你个人

• 让他们做自己或他们同行的代码的安全审计。让他们了解利用此类安全漏洞是多么容易。

• 可以找到其他更好地支持您的安全模型的工具/框架。但请注意:此选项非常昂贵！您的程序员将需要维护旧框架中的代码并学习新的(最坏的情况:他们将需要学习新的语言和新的框架)

但基本上这是一个您必须与您的开发人员协作解决的问题。如果你向他们宣战，你肯定会输(不管开发人员的结果如何)。

Answer 2

对我来说，这听起来像是你想改善编码文化。看一看Rules of Extreme Programming。也许你可以采用一些技巧。

基本上，我得到的印象是，现在开发人员和你之间的沟通很少。我可能只是在读它，但对我来说，这听起来像是开发人员被锁在地窖里，而你坐在别的地方，对他们感到沮丧。改变这种想法。你是团队的一员。

如果您的开发人员没有意识到他们在代码中引入的漏洞，请考虑每周进行代码审查。让开发人员谈谈他们写的代码。让他们互相学习。使代码成为集体所有。培养学习和建设性的批评。

记住，团队里没有我。

Answer 3

我可以推荐Nepthali吗？它不是ORM，但该框架旨在强制实现安全性。也就是说，所有变量在输出到屏幕之前都会进行编码；除非明确定义，否则也不会。

它也相当精简，没有ORM，等等，所以你可以插入任何你想要的ORM。实际上，这很不错。