क्या केकपीएचपी सुरक्षित बनाता है, और हम इसकी सुरक्षा कैसे बढ़ा सकते हैं?

Question

अभी मैं केकेपीएचपी ढांचे के बारे में सीख रहा हूं, और मैं सिर्फ यह जानना चाहता था कि केकपीएचपी सुरक्षित क्या बनाता है। उदाहरण के लिए इसके घटक कितने सुरक्षित हैं प्रमाणीकरण घटक कितना सुरक्षित है। साथ ही, डेवलपर्स के रूप में हम अपने केकेपीएचपी बेस वेब एप्लिकेशन की सुरक्षा बढ़ाने के लिए क्या कर सकते हैं?

क्या आप लोग केकपीएचपी सुरक्षा के बारे में अधिक जानने के लिए किसी भी पुस्तक या साइट की सिफारिश करते हैं?

जल्द ही आपसे लोगों से सुनने की आशा है। धन्यवाद

Answer 1

केक कई क्षेत्रों में सर्वोत्तम प्रथाओं का पालन करता है, और में निर्मित बहुत सुरक्षित उपकरण बुनियादी ढांचे के साथ आता है जो पहले से ही कुछ हद तक वेबपैप सुरक्षा के कई विशिष्ट क्षेत्रों में शामिल है। उदाहरण के लिए आपको एसक्यूएल इंजेक्शन के बारे में ज्यादा चिंता करने की आवश्यकता नहीं होगी, क्योंकि केक का डेटाबेस अबास्ट्रक्शन सभी इनपुट से बच निकलता है। यह कहाँ नहीं, the manual warns you उचित रूप से करता है:

updateAll(array $fields, array $conditions) 

! $ क्षेत्रों सरणी एसक्यूएल भाव स्वीकार करता है। शाब्दिक मूल्य मैन्युअल रूप से उद्धृत किया जाना चाहिए।

सुरक्षा कॉम्पोनेंट का उपयोग करके आप स्वत: फॉर्म स्पूफिंग सुरक्षा प्राप्त करते हैं।
डेटा सत्यापन मॉडल का एक बड़ा एकीकृत हिस्सा है।
AuthComponent हैश और लवण पासवर्ड ठीक से , हालांकि आवश्यक रूप से सबसे सुरक्षित तरीके से आवश्यक नहीं है।
htmlentities के लिए शॉर्टकट है जो आपको XSS समस्याओं से बचने के लिए आउटपुट से बचने के लिए उपयोग करना चाहिए।
एट इत्यादि Perge Perge ...

आप अभी भी सही ढंग हालांकि सभी घटकों का उपयोग करें और किसी भी "कस्टम" छेद को खोलने के लिए नहीं सावधान रहना होगा। केक केवल एक टूलबॉक्स है, इसका उपयोग करके एक भयानक असुरक्षित अनुप्रयोग बनाने के लिए अभी भी पूरी तरह से संभव है। आप अभी भी पैर में खुद को गोली मार सकते हैं, इससे कोई फर्क नहीं पड़ता कि बंदूक कितनी अच्छी है। डिफ़ॉल्ट केक संरचना केवल एक प्रारंभिक बिंदु है। सुरक्षा के मामले में यह अंत-सब कुछ नहीं है; अपने लिए सोचो। जॉन द्वारा प्रदान किया गया link वास्तव में एक अच्छा प्रारंभिक बिंदु है।

Answer 2

केकपीएचपी ढांचा काफी समय से (2005 से) रहा है और ओपन सोर्स सॉफ्टवेयर है। इसका अर्थ है कि इसका कोड किसी भी डेवलपर, या गैर-डेवलपर द्वारा समीक्षा के लिए उपलब्ध है, जो ऐसा करना चाहता है। केकेपीएचपी समुदाय और सुरक्षा समुदायों दोनों के पास कोड आधार की समीक्षा करने और संभावित सुरक्षा मुद्दों को खोजने/सही करने के लिए पर्याप्त समय है। इसका मतलब यह नहीं है कि सॉफ्टवेयर सही है लेकिन केकेपीएचपी इतना लोकप्रिय होने के साथ आप शर्त लगा सकते हैं कि इसकी समीक्षा पूरी तरह से की गई है और यदि इसमें कोई दोष है तो वे गहरे और ढूंढने/पहचानने में बहुत मुश्किल हैं।

लेकिन ध्यान रखें, क्योंकि ढांचे में कोड सुरक्षित है इसका मतलब यह नहीं है कि इसका उपयोग आपके कोड को सुरक्षित बनाता है। आपको अभी भी सुरक्षित कोडिंग प्रथाओं का पालन करने की आवश्यकता है क्योंकि आपके द्वारा उपयोग किए जाने वाले ढांचे के सुरक्षा स्तर पर ध्यान दिए बिना आपका कोड आधार कमजोर हो सकता है।

Answer 3

केक सुरक्षा बहुत अच्छी है, लेकिन सब कुछ छेद है। एक अति सुरक्षित साइट के लिए, मैं ज्ञात सुरक्षा छेद और गलतियों का शोध कर रहा हूं और उन मामलों के खिलाफ साइट का परीक्षण कर रहा हूं। यह सुरक्षा की डिग्री के किसी और के बयान पर भरोसा करने के लिए पर्याप्त नहीं है।

कुछ साइटों को सुरक्षा के उच्च स्तर की आवश्यकता नहीं है और वे प्रदर्शन हिट दे सकते हैं। दूसरों को अचूक होना चाहिए।

सभी ने कहा, मैं केक की अंतर्निहित सुरक्षा से प्रभावित हूं और इसे अभी तक संशोधित नहीं करना है।

Answer 4

सिंह: कुछ साइटें उच्च स्तर की सुरक्षा के की जरूरत नहीं है और वे एक प्रदर्शन हिट दे सकते हैं। अन्य अविश्वसनीय होना चाहिए।

क्षमा करें लियो, लेकिन मैं असहमत हूं। आपके द्वारा बनाई जाने वाली प्रत्येक साइट, आप सुरक्षा की अत्यधिक देखभाल के साथ ऐसा करते हैं। भले ही यह किस प्रकार की साइट है। मान लीजिए उदाहरण के लिए आपने यह बहुत सख्त सुपरड्यूपर हैकर्स साइट बनाई है। आप इसे किसी साझा सर्वर पर होस्ट करते हैं, और अनुमान लगाते हैं .. किसी को आपकी कम सुरक्षित साइट में छेद के माध्यम से आपकी सुरक्षित साइट तक पहुंच प्राप्त हुई है। या यहां तक ​​कि पूरे सर्वर।

मुझे पता है, यह एक कयामत सिद्धांत है, लेकिन मुझे विश्वास है कि इस तरह की चीजें दैनिक आधार पर होती हैं।