CakePHP 보안

보안은 웹 애플리케이션 구축 시 또 다른 중요한 기능입니다. 이는 웹사이트 사용자에게 데이터가 안전하다는 것을 보장합니다. CakePHP는 애플리케이션 보안을 위한 몇 가지 도구를 제공합니다.

암호화 및 복호화

CakePHP의 보안 라이브러리는 데이터를 암호화하고 해독할 수 있는 방법을 제공합니다. 다음은 같은 목적으로 사용되는 두 가지 방법입니다.

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

암호화 방법은 텍스트와 키를 인수로 사용하여 데이터를 암호화하고 반환 값은 HMAC 체크섬을 사용하여 암호화된 값이 됩니다.

데이터를 해싱하기 위해서는 hash() 메소드를 사용합니다. hash() 메소드의 구문은 다음과 같습니다.

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF는 Cross Site Request Forgery의 약자입니다. CSRF 구성 요소를 활성화하면 공격으로부터 보호받을 수 있습니다. CSRF는 웹 애플리케이션의 일반적인 취약점입니다.

이를 통해 공격자는 이전 요청을 캡처하고 재생할 수 있으며 때로는 다른 도메인의 이미지 태그나 리소스를 사용하여 데이터 요청을 제출할 수도 있습니다. 아래와 같이 CsrfComponent를 구성 요소 배열에 추가하면 CSRF를 활성화할 수 있습니다. −

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

CsrfComponent는 FormHelper와 원활하게 통합됩니다. FormHelper를 사용하여 양식을 생성할 때마다 CSRF 토큰이 포함된 숨겨진 필드가 삽입됩니다.

권장되지는 않지만 특정 요청에서는 CsrfComponent를 비활성화할 수 있습니다. beforeFilter() 메서드

중에 컨트롤러의 이벤트 디스패처를 사용하면 됩니다.

public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

보안 구성요소

보안 구성요소는 애플리케이션에 더욱 엄격한 보안을 적용합니다. −

과 같은 다양한 작업에 대한 방법을 제공합니다.

• 애플리케이션이 허용하는 HTTP 메소드 제한 − 부작용을 실행하기 전에 항상 사용되는 HTTP 메소드를 확인해야 합니다. HTTP 메소드를 확인하거나 CakeNetworkRequest::allowMethod()를 사용하여 올바른 HTTP 메소드가 사용되는지 확인해야 합니다.

• 양식 변조 방지 - 기본적으로 SecurityComponent는 사용자가 특정 방식으로 양식을 변조하는 것을 방지합니다. SecurityComponent는 다음을 방지합니다 −

  • 알 수 없는 필드는 양식에 추가할 수 없습니다.

  • 양식에서 필드를 제거할 수 없습니다.

  • 숨겨진 입력값은 수정할 수 없습니다.

• SSL 사용 요구 − SSL 보안을 요구하는 모든 작업

• 컨트롤러 간 통신 제한 − 이 컨트롤러에 요청을 보낼 수 있는 컨트롤러를 제한할 수 있습니다. 또한 이 컨트롤러의 작업에 요청을 보낼 수 있는 작업을 제한할 수도 있습니다.

예

다음 프로그램과 같이 config/routes.php 파일을 변경합니다.

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

src/Controller/LoginsController.php에서 LoginsController.php 파일을 생성합니다. 컨트롤러 파일에 다음 코드를 복사합니다.

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

src/Template에 Logins 디렉토리를 만들고 해당 디렉토리 아래에 index.php라는 View 파일을 만듭니다. 해당 파일에 다음 코드를 복사하세요.

src/Template/Logins/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

다음 URL(http://localhost/cakephp4/login)을 방문하여 위의 예를 실행하세요

출력

실행하면 다음과 같은 결과가 출력됩니다.

위 내용은 CakePHP 보안의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!