整理一些php框架Laravel的安全相关规范
首先我们要明白一个观点就是,没有绝对安全,只有相对安全。Laravel 相较于其他框架在安全方面已经做得很优秀,不过作为开发者,我们要在日常开发中对安全需怀着敬畏之心,积极培养自己的安全意识。
首先我们要明白一个观点就是,没有绝对安全,只有相对安全。laravel 相较于其他框架在安全方面已经做得很优秀,不过作为开发者,我们要在日常开发中对安全需怀着敬畏之心,积极培养自己的安全意识。
一、关闭 DEBUG
laravel Debug 开启时,会暴露很多能被黑客利用的服务器信息,所以,生产环境下请 必须 确保:
APP_DEBUG=false二、XSS
跨站脚本攻击(cross-site scripting,简称 XSS),具体危害体现在黑客能控制你网站页面,包括使用 JS 盗取 Cookie 等
默认情况下,在无法保证用户提交内容是 100% 安全的情况下,必须 使用 Blade 模板引擎的 {{ $content }} 语法会对用户内容进行转义。
Blade 的 {!! $content !!} 语法会直接对内容进行 非转义 输出。
三、SQL 注入
laravel 的 查询构造器 和 Eloquent 是基于 PHP 的 PDO,PDO 使用 prepared 来准备查询语句,保障了安全性。
在使用 raw() 来编写复杂查询语句时,必须 使用数据绑定。
错误的做法:
Route::get('sql-injection', function() {
$name = "admin"; // 假设用户提交
$password = "xx' OR 1='1"; // // 假设用户提交
$result = DB::select(DB::raw("SELECT * FROM users WHERE name ='$name' and password = '$password'"));
dd($result);
});以下是正确的做法,利用 select 方法的第二个参数做数据绑定:
Route::get('sql-injection', function() {
$name = "admin"; // 假设用户提交
$password = "xx' OR 1='1"; // // 假设用户提交
$result = DB::select(
DB::raw("SELECT * FROM users WHERE name =:name and password = :password"),
[
'name' => $name,
'password' => $password,
]
);
dd($result);
});四、批量赋值
laravel 提供白名单和黑名单过滤($fillable 和 $guarded),开发者 应该 清楚认识批量赋值安全威胁的情况下合理灵活地运用。
批量赋值安全威胁,指的是用户可更新本来不应有权限更新的字段。举例,users 表里的 is_admin 字段是用来标识用户 是否是管理员,某不怀好意的用户,更改了修改个人资料的表单,增加了一个字段:
<input name="is_admin" value="1" />这个时候如果你更新代码如下:
Auth::user()->update(Request::all());此用户将获取到管理员权限。可以有很多种方法来避免这种情况出现,最简单的方法是通过设置 User 模型里的 $guarded 字段来避免:
protected $guarded = ['id', 'is_admin'];五、CSRF
CSRF 跨站请求伪造是 Web 应用中最常见的安全威胁之一
laravel 默认对所有『非幂等的请求』强制使用 VerifyCsrfToken 中间件防护,需要开发者做的,是区分清楚什么时候该使用『非幂等的请求』。
幂等请求指的是:’HEAD’, ‘GET’, ‘OPTIONS’,既无论你执行多少次重复的操作都不会给资源造成变更。
- 所有删除的动作,必须 使用 DELETE 作为请求方法;
- 所有对数据更新的动作,必须 使用 POST、PUT 或者 PATCH 请求方法。
以上这篇整理一些php框架laravel的安全相关规范就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持芦苇派。
原创文章,作者:ECHO陈文,如若转载,请注明出处:https://www.luweipai.cn/php/1667547780/
相关推荐
-
laravel 8 如何自定义日志文件名、自定义目录
laravel自带的Log::info日志功能有限,只能单个文件记录或者按照日期记录。但是在实际开发过程中,经常需要按功能或者特定需求来记录日志。为了方便,我们可以使用Logger自定义封装一些日志功能。
-
TortoiseGit合并分支教程
今天来给大家分享TortoiseGit合并分支的教程,1、首先当前分支 “提交” 并 “推送” 到服务器上,比如开发分支 dev 合并到 master 上
-
mysql中如何查询重复字段
有时候因为设计表不到位,就会造成表内有很多的垃圾冗余数据,这个在前台读取的时候就很有可能错乱,今天主要说下mysql查重的具体思路
-
Laravel Passport 获取访问令牌提示invalid_grant的解决办法
今天在使用passport 获取token令牌时,按照文档步骤操作的,结果显示invalid_grant,有如下三种解决思路
-
Laravel如何使用Passport OAuth 进行用户登录认证
Laravel Passport 可以在几分钟之内为你的应用程序提供完整的 OAuth2 服务端实现。Passport 是基于由 Andy Millington 和 Simon Hamp 维护的 League OAuth2 server 建立的。
