良好的Php强安全性框架

Question

我正在尝试选择一个框架，该框架为web应用程序提供了非常好的安全性，并尽可能防止OWASP 10的出现，例如：

• Sql注入
• XSS
• CSRF
• 身份验证
• 授权
• 等。

问题是，我已经尝试了大量的研究: Cakephp，Zend，Yii，Code点火器，Kohana和一些具有基本身份验证，也许是一点授权，但是对于任何需要可靠代码安全性的应用程序来说都是没有意义的。

上述大多数漏洞类型目前是否仅通过在这些框架中编写自定义代码来保护？

这是我第一次使用框架，直到现在为止，所有的东西都是定制的php web应用程序。我对php框架的全部想法是，它会很容易地防止这些漏洞，考虑到它不是本地的，为什么要使用一个呢？或者，对于强大的web应用程序安全性，是否有一个比上面列出的框架更好的框架？谢谢

Answer 1

安全性不能像单板那样应用于应用程序。每种类型的安全问题都以其他方式处理，大多数PHP框架提供了编写安全代码的工具：

• 对抗HTML注入/ XSS需要使用模板引擎(如Twig)在默认情况下转义值，或者使用组件驱动的方法来显示HTML。没有任何框架会帮助你，如果你允许人们上传他们的文件，并让他们从你自己的领域(你必须使用一个单独的域名)；
• 您可以通过使用可以转义查询参数的db帮助程序来避免SQL注入；您提到的每个框架都提供了这些(当然，也可以使用普通的PDO)；
• 您可以通过使用会话绑定令牌来对抗CSRF。每个框架都提供了一些解决方案。但是，在每种情况下，您都必须以某种方式帮助框架(向每个表单添加一个令牌，或者使用框架提供的表单抽象)。

所以在某种程度上-是的，你必须考虑安全问题。我认为任何PHP框架都不能做他们已经做过的任何事情，除非有一个重大的范式转变，允许我们通过在屏幕上拖动五颜六色的框来设计应用程序，而不是触及脏的、不安全的东西，比如HTML或SQL。你希望得到什么样的支持？

Answer 2

我也会说试试CodeIgniter。

• 如果您在CodeIgniter中使用活动记录模式，那么您是安全的
• XSS -它是config.php中的一个配置值
• CSRF -也是config.php中的一个配置值。
• 登录等-有像https://github.com/EllisLab/CodeIgniter/wiki/SimpleLoginSecure这样的库

而且，如果您是第一次使用框架，那么CodeIgniter很容易使用，并且有一个很好的用户指南，这是非常容易理解的。

编辑：，由于我在2019年还在这里获得选票，请查看https://laravel.com/

Answer 3

您提到的关键漏洞发生在不同的、有时是多个层，并且往往取决于您所做的工作的上下文，因此其中许多漏洞将提供防止此类事件发生的工具，但您必须利用它。

例如，Symfony (1.x和2)和都有一个表单组件/子框架，它可以直接实现CSRF。但这并不意味着它被默认打开(symfony's是.不要想起zf的是否是)。当我们谈到视图层中的输出转义侧时，XSS也是如此。

现在，当谈到对大型应用的框架偏好时，我个人喜欢Symfony 1.x和Symfony2，ZendFramework1.x(更别提zf2了，因为我还没玩过它)。对于简单的事情，我喜欢Silex (基于Symfony组件)。