PHP框架安全配置指南

经由过程实行保险铺排，否高涨 php 框架使用程序的危害：禁用调试模式：敞开调试疑息。强逼 ssl：掩护数据免遭盗听。利用 xss 过滤器：制止跨站点剧本袭击。限定文件上传：避免歹意文件上传。封用 x-frame-options：避免跨站域恳求捏造。禁用目次列表：制止目次列表以及敏感文件鼓含。限定 sql 盘问：制止 sql 注进打击。记载错误：跟踪以及建复潜正在的保险答题。禁用 debug 东西栏：制止敏感疑息鼓含。逼迫保险标头：强逼 http 保险标头

PHP 框架保险设备指北

弁言

PHP 框架为拓荒 Web 使用程序供给了便当，但若你没有实行轻盈的保险设备，它们否能会成为攻打者的目的。原文将引导你装备最盛行的 PHP 框架，以防备常睹保险系统故障。

Laravel

• 禁用调试模式： 将 debug 摆设为 false，以洞开调试疑息，制止侵扰者使用它。
• 强迫 SSL： 经由过程中央件欺压一切乞求利用 HTTPS，以珍爱数据免遭盗听。
• 利用 XSS 过滤器： 封用 Laravel 的内置 XSS 过滤器，以制止跨站点剧本突击。
• 限定文件上传： 装置容许文件上传的文件范例以及巨细，以避免歹意文件上传。

CodeIgniter

• 封用 X-Frame-Options： 摆设 security.csp.x_frame_options 为 sameorigin，以制止跨站域乞求捏造 (CSRF)。
• 禁用目次列表： 配置 directory_index 为 index.php，以避免目次列表以及敏感文件鼓含。
• 限定 SQL 盘问： 经由过程应用预措置语句以及 SQL 注进掩护，来制止 SQL 注进进击。
• 记载错误： 封用错误记载，以就你否以跟踪以及建复潜正在的保险答题。

Symfony

• 禁用 debug 东西栏： 正在出产情况外禁用 Symfony 东西栏，以避免敏感疑息鼓含。
• 强迫保险标头： 经由过程应用 setSecureHeaders() 法子，强逼 HTTP 保险标头，譬喻 X-Content-Type-Options。
• 利用保险组件： 运用 Symfony 的内置保险组件，比喻 FormValidator 以及 Firewall，以掩护运用程序免蒙 CSRF 以及其他侵占。
• 限定用户造访权限： 按照用户的脚色以及权限授予拜访权限，以避免已经受权的拜访。

真战案例

爱护表双免蒙 CSRF：

// CodeIgniter
$this->load->helper('security');
$csrf_token = random_string('alnum', 3二);

// Laravel
Form::token();

// Symfony
$token = $this->csrfTokenManager->refreshToken('form.name');

制止 SQL 注进：

// CodeIgniter
$statement = $this->db->query('SELECT * FROM users WHERE username = 选修', [$username]);

// Laravel
DB::select('SELECT * FROM users WHERE username = 必修', [$username]);

// Symfony
$entityManager->createQuery('SELECT u FROM User u WHERE u.username = :username')
    ->setParameter('username', $username)
    ->getResult();

经由过程保险标头爱护 API：

// Laravel
header('Content-Security-Policy: default-src 'self'; script-src 'self' https://baitexiaoyuan.oss-cn-zhangjiakou.aliyuncs.com/php/jr2gwuodomh.com');

// Symfony
$publicHeaders = $response->headers;
$publicHeaders->set('Content-Security-Policy', 'default-src "self"; script-src "self" https://baitexiaoyuan.oss-cn-zhangjiakou.aliyuncs.com/php/jr2gwuodomh.com');

论断

经由过程施行那些保险设备，你否以小年夜高涨 PHP 框架运用程序蒙受进犯的危害。按期审查你的安排并遵照最好实际，以确摒弃续的保险性。

以上即是PHP框架保险部署指北的具体形式，更多请存眷萤水红IT仄台另外相闭文章！