Sécurité CakePHP

La sécurité est une autre fonctionnalité importante lors de la création d'applications Web. Il assure aux utilisateurs du site que leurs données sont sécurisées. CakePHP fournit quelques outils pour sécuriser votre application.

Cryptage et Décryptage

La bibliothèque de sécurité de CakePHP fournit des méthodes par lesquelles nous pouvons crypter et déchiffrer les données. Voici les deux méthodes utilisées dans le même but.

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

La méthode de cryptage prendra le texte et la clé comme argument pour crypter les données et la valeur de retour sera la valeur cryptée avec la somme de contrôle HMAC.

Pour hacher une donnée, la méthode hash() est utilisée. Voici la syntaxe de la méthode hash().

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF signifie Cross Site Request Forgery. En activant le composant CSRF, vous bénéficiez d'une protection contre les attaques. CSRF est une vulnérabilité courante dans les applications Web.

Il permet à un attaquant de capturer et de rejouer une requête précédente, et parfois de soumettre des requêtes de données à l'aide de balises d'image ou de ressources sur d'autres domaines. Le CSRF peut être activé en ajoutant simplement le CsrfComponent à votre tableau de composants comme indiqué ci-dessous −

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

Le CsrfComponent s'intègre parfaitement à FormHelper. Chaque fois que vous créez un formulaire avec FormHelper, il insérera un champ masqué contenant le jeton CSRF.

Bien que cela ne soit pas recommandé, vous souhaiterez peut-être désactiver le CsrfComponent sur certaines requêtes. Vous pouvez le faire en utilisant le répartiteur d'événements du contrôleur, pendant la méthode beforeFilter().

public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

Composant de sécurité

Le composant de sécurité applique une sécurité plus stricte à votre application. Il fournit des méthodes pour diverses tâches comme −

• Restriction des méthodes HTTP acceptées par votre application - Vous devez toujours vérifier la méthode HTTP utilisée avant d'exécuter les effets secondaires. Vous devez vérifier la méthode HTTP ou utiliser CakeNetworkRequest::allowMethod() pour vous assurer que la bonne méthode HTTP est utilisée.

• Protection contre la falsification des formulaires - Par défaut, le SecurityComponent empêche les utilisateurs de falsifier les formulaires de manière spécifique. Le SecurityComponent empêchera les choses suivantes -

  • Les champs inconnus ne peuvent pas être ajoutés au formulaire.

  • Les champs ne peuvent pas être supprimés du formulaire.

  • Les valeurs dans les entrées masquées ne peuvent pas être modifiées.

• Exiger que SSL soit utilisé − Toutes les actions pour exiger un SSL sécurisé

• Limitation de la communication entre contrôleurs - Nous pouvons restreindre quel contrôleur peut envoyer une demande à ce contrôleur. Nous pouvons également restreindre les actions qui peuvent envoyer une requête à l'action de ce contrôleur.

Exemple

Apportez des modifications au fichier config/routes.php comme indiqué dans le programme suivant.

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

Créez un fichier LoginsController.php dans src/Controller/LoginsController.php. Copiez le code suivant dans le fichier du contrôleur.

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

Créez un répertoire Logins dans src/Template et sous ce répertoire, créez un fichier View appelé index.php. Copiez le code suivant dans ce fichier.

src/Template/Logins/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

Exécutez l'exemple ci-dessus en visitant l'URL suivante - http://localhost/cakephp4/login

Sortie

Lors de l'exécution, vous recevrez le résultat suivant.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!