Jestem nowy w zakresie bezpieczeństwa aplikacji internetowych. Zajmuję się tworzeniem aplikacji w Cakephp i jeden z moich znajomych powiedział mi o fałszowaniu żądań między witrynami (CSRF) i atakach cross-site scripting (XSS) itp. Nie jestem pewien, ile jest ich więcej.Bezpieczeństwo Cakephp
Potrzebuję pomocy w zrozumieniu, jak sprawić, by Cakephp bronił mojej aplikacji internetowej przed tymi. mamy niski budżet i od tej pory nie możemy wynająć konsulatu bezpieczeństwa. Wciąż rozwijamy aplikację i planujemy ją wydać pod koniec miesiąca. więc chcę zadbać o początkowe rzeczy, które mogą mi pomóc w zhackowaniu;)
dzięki za przyspieszony kurs na bezpieczeństwo. jedno pytanie podczas korzystania z HTML Helpers doesnt - htmlspecialchars() i mysql_real_escape_string() dzieje się automatycznie? –
Podczas używania pomocników HTML, 'htmlspecialchars()' jest domyślnie wykonywane, tak, chyba że ustawisz ''escape' => false'. 'mysql_real_escape_string()' nie jest, ponieważ nie ma sensu być wychodzącym z HTML wyjściem HTML. To musi się zdarzyć, gdy rozmawiasz z bazą danych (i zostanie to zrobione automatycznie, jeśli używasz ORM). 'htmlspecialchars()' jest potrzebne, gdy wyprowadzasz zawartość bez pomocnika, na przykład wstawiasz nieformalną treść. na przykład. '
Witaj, Php echo htmlspecialchars ($ name); ?>!
'. – bobince"To bardzo niefortunne, że samouczek CakePHP zawiera złą praktykę powtarzania ciągów bez znaków w HTML dla tekstu spoza pomocników HTML" Zgadzam się - w ten sposób wielu nie zdaje sobie sprawy, że jest to naprawdę złe. – mark