SQLインジェクションについて読んだら、Laravelでアプリケーションを作成することがどれほど安全で、セキュリティが今日の基準を満たしているかどうかをテストする方法が不思議です。laravel 5.1はどれくらい安全ですか?
答えて
私はいくつかLaravelアプリケーションを開発し、それらが私の目にはかなり安全であることがわかってきました。
私は様々な侵入テスト、OWASP ZAPスキャナ、sqlsus、DBペンテストのためのbbqsqlと同様のもの、portスキャンのnmapを含む5つ以上のツールを実行し、ZAPを攻撃モードに切り替えてさまざまなXSSとCSRFを実行し、 Laravel自体の脆弱性はありません。私がパッチを当てたサーバー自体からのいくつかの事だけです。
それはあなたが物事を行う方法に大きく依存して何のアプリケーションが100%安全ではないと言うことが重要です。
SQLインジェクション:
しかし、Laravelはからあなたを保護することにより、箱から出してかなり良い仕事をするのか、あなたが使用している場合は雄弁では、これらの安全を維持します照会します。しかし、
DB::raw()
クエリを使用すると脆弱になります。これらのクエリは、あなたを注射まで開くことができます。CSRFは:Laravelはそれはあなたが基本的にこれは
POST
からGET
にすなわち、要求の性質を、変更する誰かからあなたを守り、それらを使用することを確認し、各POST
要求にチェックすることをトークンCSRFと、このの世話をします。はXSS:まず、ユーザー入力をサニタイズ。変数は
{{ }}
がデータをエスケープするのに対し、あなたのHTMLコード内<?= e($foo) ?>
に解決ブレード構文{!! !!}
を、使用してエスケープされません。
これはLaravelセキュリティのかなり短い概要です。ファイルのアップロードなどで自分自身を開くと、少し難しくなり、さらにPHPで安全でないことが起きる可能性があります。
この記事hereは、上記と深さにもう少し行くのは興味深い読み取りかもしれません。短いで
、私は私が今まで雄弁を使用して、ブレード構文とCSRF
トークンの正しい使用に伴い、必要な入力をサニタイズすることによって実行したすべての攻撃から安全になるようにLaravelを見つけました。
- 1. 流星 - それはどれくらい安全ですか?
- 2. iOS 8,9でNSUserDefaultsはどれくらい安全ですか?
- 3. オープンで安全なTCPチャネルはどのくらい安全ですか?
- 4. PHPはどれくらい安全ですか?
- 5. iOSデバイスIDはどれくらい安全ですか?
- 6. Parse PFUser.current()オブジェクトはどれくらい安全ですか?
- 7. ASP.NET Identity GenerateEmailConfirmationTokenはどれくらい安全ですか?
- 8. firebaseとauthはどれくらい安全ですか?
- 9. Application Supportフォルダはどれくらい安全ですか?
- 10. PHP - このハッシュはどれくらい安全ですか?
- 11. PHPセッション変数はどれくらい安全ですか?
- 12. htacces/htpasswdはどれくらい安全ですか?
- 13. postgresqlのこのセキュリティメソッドはどれくらい安全ですか?
- 14. Androidアプリのキャッシュはどれくらい安全ですか?
- 15. Vagrant/Puppet/Puphpetはどれくらい安全ですか?
- 16. `// domain.com /`(スキーマレス)のリンクはどれくらい安全ですか?
- 17. Weakreference get()メソッドはどれくらい安全ですか? (Android、asynctask)
- 18. ブラウザのローカルストレージはどれくらい安全ですか?
- 19. 角度のルートガードはどれくらい安全ですか?
- 20. RTMPライブストリーミングサービスはどのくらい安全ですか?
- 21. javax.crypto.Cipherの安全性はどのくらいですか?
- 22. card.ioライブラリはどのくらい安全ですか?
- 23. android StudioのWebサービスはどのくらい安全ですか?
- 24. モバイルワイヤレスブロードバンドはどのくらい安全ですか?
- 25. VB.NET Rijndael Managed EncryptionまたはAESはどれくらい安全ですか?
- 26. AIRのEncryptedLocalStoreはデスクトップ上でどれくらい安全ですか?
- 27. RequestFactoryで生成されたIDはどのくらい安全ですか?
- 28. パスワードなしでLocal Hadoopのインストールはどれくらい安全ですか?
- 29. ファイヤーベースのクラウドメッセージングはクライアント側でどれくらい安全ですか?
- 30. クラスター環境でのcreateuuidの安全性はどれくらいですか?
あなたは上で手の込んだことができ「から....アップパッチを適用物事だけのカップル。」 – davejal
彼らは私のApacheのインストールとサーバーの設定と関係していました。私はApacheをアップデートし、いくつかのサーバー設定を変更することで修正しました。彼らはマイナーなものでしたが、悪用するのは難しいですが、残念ながら安全です。 – James
あなたは確かですか? !!}事? – jartaud