Je suis nouveau à la sécurité des applications Web. Je suis en train de développer une application dans Cakephp et un de mes amis m'a parlé des attaques de contrefaçon de requêtes inter-sites (CSRF) et de scripts inter-sites (XSS), etc., mais je ne sais pas combien il y en a d'autres.Cakephp Security
J'ai besoin d'aide pour comprendre comment faire en sorte que Cakephp défende mon application Web contre celles-ci. nous sommes à petit budget et nous ne pouvons pas engager un consulat de sécurité dès maintenant. Nous sommes encore en train de développer l'application et nous prévoyons la publier d'ici la fin du mois. donc vous voulez prendre soin des choses initiales qui peuvent m'aider à ne pas être piraté;)
grâce à un cours accéléré sur la sécurité. une question tout en utilisant HTML Helpers doesnt - htmlspecialchars() et mysql_real_escape_string() se produisent automatiquement? –
Lorsque vous utilisez des helpers HTML, 'htmlspecialchars()' est fait par défaut, yes, sauf si vous définissez ''escape' => false'. 'mysql_real_escape_string()' ne l'est pas, car cela n'a pas de sens d'échapper SQL. Cela doit se produire lorsque vous parlez à la base de données (et sera fait automatiquement si vous utilisez l'ORM). 'htmlspecialchars()' est nécessaire lorsque vous envoyez un contenu sans assistant, tel qu'un contenu non-formulaire en ligne. par exemple. '
Bonjour, Php echo htmlspecialchars ($ name); ?>!
'. – bobince"il est très regrettable que le tutoriel CakePHP inclue la mauvaise pratique d'écho de chaînes non-échappées en HTML pour du texte en dehors des assistants HTML" Je suis d'accord - de nombreuses personnes ne savent pas que c'est vraiment mauvais. – mark