关于 Laravel 5.1 安全性

Question

我是在 Laravel 5.1 中开发项目的新手

我想了解如何避免安全风险。 Laravel 可以保护哪些类型的攻击？ Laravel 不安全的攻击方式有哪些？

使用中间件是处理授权的好方法。

而且我知道 Laravel 可以抵御 CSRF 攻击。

有什么我应该知道的吗？ SQL注入呢？ Laravel 是否安全？

Answer 1

简短的回答

Laravel 5.1 默认在 SQL 注入、CSRF 和 XSS 方面得到了很好的保护。

更多详情

在我看来，您应该注意的事项：

1- 不仅 Laravel 独自负责您的 Web 应用程序的安全性，还负责它周围的环境。
    - 网络服务器应配置正确且安全。
    - 在您的域中使用 SSL（证书）是一个优势。
    - 仅使用 SFTP over SSH 进行文件传输，并且仅使用 SSH 进行控制台连接。
    - 使用受信任的提供商和物理安全的服务器环境。
    - 定期备份您的文件和数据库，并将数据移出您的提供商服务器位置。
    - 为 SSH 控制台、数据库或其他服务设置不同的用户名和密码。
    - 对于 SSH 访问和数据库访问，不要经常使用 admin 或 root 用户名，只保留它以备不时之需，而是创建一个子 admin/root 帐户并改为使用它。

2- 最重要的是，当您在 Laravel 上进一步开发时，您可能会冒着执行破坏 Laravel 默认安全规则的错误编程的风险。

结论

因此，建议不要指望默认安全性。当您的项目完成后，您需要进行自己的渗透测试，以确保每件事都按计划正常工作和保护。并遵循一些简单的安全规则，那么您将完全安全。

我建议您查看有关 CSRF 和 @ImtiazPabel cmets link 的链接。

最后这个链接很好看：

• https://www.owasp.org/index.php/Top_10_2013-Top_10
• https://www.owasp.org/index.php/OWASP_Proactive_Controls
• https://www.owasp.org/images/9/9b/OWASP_Top_10_Proactive_Controls_V2.pdf

编辑
OP 在 cmets 中询问：

我们可以说 Request::get($data) 是完全安全的吗？

Request::get($data) 也很安全。

注意
几个月前，我和其他 3 个人做了一个原始项目来测量 Laravel 5.1 的安全级别，它成功通过了，没有任何显着的 cmets。