laravel 5.1はどれくらい安全ですか？

Question

SQLインジェクションについて読んだら、Laravelでアプリケーションを作成することがどれほど安全で、セキュリティが今日の基準を満たしているかどうかをテストする方法が不思議です。

Answer 1

私はいくつかLaravelアプリケーションを開発し、それらが私の目にはかなり安全であることがわかってきました。

私は様々な侵入テスト、OWASP ZAPスキャナ、sqlsus、DBペンテストのためのbbqsqlと同様のもの、portスキャンのnmapを含む5つ以上のツールを実行し、ZAPを攻撃モードに切り替えてさまざまなXSSとCSRFを実行し、 Laravel自体の脆弱性はありません。私がパッチを当てたサーバー自体からのいくつかの事だけです。

それはあなたが物事を行う方法に大きく依存して何のアプリケーションが100％安全ではないと言うことが重要です。

• SQLインジェクション：

  しかし、Laravelはからあなたを保護することにより、箱から出してかなり良い仕事をするのか、あなたが使用している場合は雄弁では、これらの安全を維持します照会します。しかし、DB::raw()クエリを使用すると脆弱になります。これらのクエリは、あなたを注射まで開くことができます。

• CSRFは：Laravelはそれはあなたが基本的にこれはPOSTからGETにすなわち、要求の性質を、変更する誰かからあなたを守り、それらを使用することを確認し、各POST要求にチェックすることをトークンCSRFと、このの世話をします。

• はXSS：まず、ユーザー入力をサニタイズ。変数は{{ }}がデータをエスケープするのに対し、あなたのHTMLコード内<?= e($foo) ?>に解決ブレード構文{!! !!}を、使用してエスケープされません。

これはLaravelセキュリティのかなり短い概要です。ファイルのアップロードなどで自分自身を開くと、少し難しくなり、さらにPHPで安全でないことが起きる可能性があります。

この記事hereは、上記と深さにもう少し行くのは興味深い読み取りかもしれません。短いで

、私は私が今まで雄弁を使用して、ブレード構文とCSRFトークンの正しい使用に伴い、必要な入力をサニタイズすることによって実行したすべての攻撃から安全になるようにLaravelを見つけました。