Keselamatan CakePHP

Keselamatan ialah satu lagi ciri penting semasa membina aplikasi web. Ia memberi jaminan kepada pengguna tapak web bahawa, data mereka terjamin. CakePHP menyediakan beberapa alatan untuk melindungi aplikasi anda.

Penyulitan dan Penyahsulitan

Pustaka keselamatan dalam CakePHP menyediakan kaedah, yang mana kami boleh menyulitkan dan menyahsulit data. Berikut ialah dua kaedah, yang digunakan untuk tujuan yang sama.

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

Kaedah penyulitan akan menggunakan teks dan kunci sebagai hujah untuk menyulitkan data dan nilai pulangan akan menjadi nilai yang disulitkan dengan HMAC checksum.

Untuk mencincang data, kaedah cincang() digunakan. Berikut ialah sintaks kaedah hash().

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF adalah singkatan kepada Pemalsuan Permintaan Rentas Tapak. Dengan mendayakan Komponen CSRF, anda mendapat perlindungan daripada serangan. CSRF ialah kelemahan biasa dalam aplikasi web.

Ia membenarkan penyerang menangkap dan memainkan semula permintaan sebelumnya, dan kadangkala menyerahkan permintaan data menggunakan teg imej atau sumber pada domain lain. CSRF boleh didayakan dengan hanya menambah CsrfComponent pada tatasusunan komponen anda seperti yang ditunjukkan di bawah −

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

CsrfComponent disepadukan dengan lancar dengan FormHelper. Setiap kali anda membuat borang dengan FormHelper, ia akan memasukkan medan tersembunyi yang mengandungi token CSRF.

Walaupun ini tidak disyorkan, anda mungkin mahu melumpuhkan CsrfComponent pada permintaan tertentu. Anda boleh berbuat demikian dengan menggunakan penghantar acara pengawal, semasa kaedah beforeFilter().

public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

Komponen Keselamatan

Komponen Keselamatan menggunakan keselamatan yang lebih ketat pada aplikasi anda. Ia menyediakan kaedah untuk pelbagai tugas seperti −

• Mengehadkan kaedah HTTP yang diterima oleh aplikasi anda − Anda hendaklah sentiasa mengesahkan kaedah HTTP, digunakan sebelum melaksanakan kesan sampingan. Anda harus menyemak kaedah HTTP atau gunakan CakeNetworkRequest::allowMethod() untuk memastikan kaedah HTTP yang betul digunakan.

• Perlindungan gangguan bentuk − Secara lalai, SecurityComponent menghalang pengguna daripada mengusik borang dengan cara tertentu. SecurityComponent akan menghalang perkara berikut −

  • Medan tidak diketahui tidak boleh ditambahkan pada borang.

  • Medan tidak boleh dialih keluar daripada borang.

  • Nilai dalam input tersembunyi tidak boleh diubah suai.

• Memerlukan SSL digunakan − Semua tindakan untuk memerlukan SSL yang dilindungi

• Menghadkan komunikasi pengawal silang − Kami boleh menyekat pengawal mana yang boleh menghantar permintaan kepada pengawal ini. Kami juga boleh mengehadkan tindakan yang boleh menghantar permintaan kepada tindakan pengawal ini.

Contoh

Buat perubahan dalam fail config/routes.php seperti yang ditunjukkan dalam program berikut.

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

Buat fail LoginsController.php di src/Controller/LoginsController.php. Salin kod berikut dalam fail pengawal.

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

Buat direktori Log Masuk di src/Template dan di bawah direktori itu cipta fail Lihat yang dipanggil index.php. Salin kod berikut dalam fail itu.

src/Template/Login/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

Laksanakan contoh di atas dengan melawati URL berikut − http://localhost/cakephp4/login

Output

Setelah pelaksanaan, anda akan menerima output berikut.

Atas ialah kandungan terperinci Keselamatan CakePHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!