- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我是在 Laravel 5.1 中开发项目的新手
我想了解如何避免安全风险。 Laravel 可以保护哪些类型的攻击?什么样的攻击 Laravel 是不安全的?
使用中间件是处理授权的好方法。
而且我知道 Laravel 可以抵御 CSRF 攻击。
有什么我应该知道的吗? SQL注入(inject)呢? Laravel 是否安全?
最佳答案
简短的回答
Laravel 5.1 默认在 SQL 注入(inject)、CSRF 和 XSS 方面得到了很好的保护。
更多细节
在我看来,您应该注意的事项:
1- 不仅 Laravel 独自负责您的 Web 应用程序的安全性,而且还负责它周围的环境。
- Web 服务器应配置正确且安全。
- 在您的域中使用 SSL(证书)是一个优势。
- 仅使用 SFTP over SSH 进行文件传输,并且仅使用 SSH 进行控制台连接。
- 使用受信任的提供商和物理安全的服务器环境。
- 定期备份您的文件和数据库,并将数据移出您的提供商服务器位置。
- 为 SSH 控制台、数据库或其他服务设置不同的用户名和密码。
- 对于 SSH 访问和数据库访问,不要经常使用 admin 或 root 用户名,只保留它以备不时之需,而是创建一个子 admin/root 帐户并使用它。
2- 最重要的是,当你在 Laravel 上进一步开发时,你可能会冒着执行糟糕的编程的风险,这会破坏 Laravel 的默认安全规则。
结论
因此,建议不要指望默认安全性。当您的项目完成后,您需要进行自己的渗透测试,以确保每件事都按计划正常工作和保护。并遵循一些简单的安全规则,那么您将完全安全。
我建议您查看有关 CSRF 的链接正如@ImtiazPabel 评论 link .
最后这个链接很好检查:
Can we say Request::get($data) is totaly safe?
Request::get($data)
也很安全。
关于laravel - 关于 Laravel 5.1 安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33329501/
我已经安装了 composer,但是查看 Laravel 文档,我正在努力解决: “确保将 ~/.composer/vendor/bin 目录放在您的 PATH 中,以便在您的终端中运行 larave
我想在迁移时插入外键而不是在 1 中添加外键值 `public function up() { Schema::table('users', function (Bluepri
这是一个open bug on Github对于 laravel-mongodb 包,但没有任何反应。也许有人知道解决方案..? 选择作为单个文档时,日期显示为日期 { "_id": "5ca
我有一个 Laravel 应用程序,我将其用作 Joomla 中构建的更大应用程序的 API。我真的很喜欢使用 Laravel,并决定在 Joomla 应用程序中使用 Eloquent。我通过在 La
我有两个 Laravel 应用程序使用相同的数据库,因此具有相同的用户和密码。 假设应用程序称为 A 和 B。 如果用户登录 A,我该怎么做才能让他们自动登录 B?因此,如果他们登录到 A,那么当他们
我正在 github 上查看 Laravel 的源代码并注意到有一个 laravel/laravel和一个 laravel/framework .它们都链接到 Laravel 网站上的相同文档,并声明
我正在尝试将 laravel 从 5.4 版本更新到 5.5。我已经按照 Laravel 指南的指示完成了所有操作: https://laravel.com/docs/master/upgrade 当
我尝试从 foreach 向每个用户添加一些新值,但因为我使用 get,现在我不能在响应中使用分页,但我还需要向每个用户添加这些值。有什么想法吗? public function statistics
我有一个链接到销毁按钮的删除链接 $task->id ,'method'=>'DELETE'] ) }}"> delete 这是销毁函数 public function destroy($i
我想在 Laravel 中上传一组文件,但我不确定文件的路径和存储对象。八现在数据已存储,但在我的情况下路径是#。在下图中,我有从前面发送的数据(Vuejs 和我正在使用 vue-upload-com
在使用三向数据透视表时,我很难在 Laravel 中进行预加载。数据库设置如下: +-------+--------+-------+-------------+ | deals | venues |
我一直在从事 laravel 5.7 博客项目。我想评论一篇文章。 我需要实现这个: 登录前,我可以在评论文本区输入任何内容 我提交评论(当然会被auth中间件拦截) 然后我被重定向到登录页面 登录后
我正在尝试为我的应用程序中的文件创建一个临时 URL。我能够将文件上传到 S3 存储桶,并且能够使用方法 \Storage::temporaryUrl($this->url, now()->addHo
如果将 Eloquent 模型作为输入传递给 Laravel 排队作业,但模型在作业在队列中运行之前被删除,会发生什么情况? 例如,我正在使用 Laravel 5.2 构建一个电子商务网站,客户可以在
我正在尝试运行在测试运行之前将数据输入数据库的单元测试。我已经定义了一个设置方法,它为每个我不想要的测试用例运行。设置方法执行良好,没有问题。我想要的是将数据输入数据库一次,然后由所有测试用例使用。所
美好的一天。例如,我有一个带有字段/属性的模型 People: name surname 而且模型也有这个方法: public function FullName() { return "{$
我无法理解 Laravel 存在验证在检查数据库中现有记录方面的工作原理。 例如 带有 user.id = 1 的 POST 请求 是否可以使用验证规则:'id' => 'exists:users'检
我正在使用Laravel 5.2创建站点 我想做的是 INSERT同时3行 新的3行必须包含时间戳created_at updated_at。 使用Query Builder方法insert,是的,它
我试图通过href Action 将一些数据传递给我的 Controller 。我不知道为什么,但是laravel使用 GET 方法传递数据,但是我需要一个 POST 来代替 GET 。我真的不明白为
我有一个问题,我的存储文件夹上的服务器前提每 2 天重置一次。所以我运行这些命令并得到修复: sudo chown -R $USER:www-data storage sudo chown -R $U
我是一名优秀的程序员,十分优秀!