- CakePHP 教程
- CakePHP - 首頁
- CakePHP - 概述
- CakePHP - 安裝
- CakePHP - 資料夾結構
- CakePHP - 專案配置
- CakePHP - 路由
- CakePHP - 控制器
- CakePHP - 檢視
- CakePHP - 擴充套件檢視
- CakePHP - 檢視元素
- CakePHP - 檢視事件
- CakePHP - 資料庫操作
- CakePHP - 檢視記錄
- CakePHP - 更新記錄
- CakePHP - 刪除記錄
- CakePHP - 服務
- CakePHP - 錯誤和異常處理
- CakePHP - 日誌記錄
- CakePHP - 表單處理
- CakePHP - 國際化
- CakePHP - 會話管理
- CakePHP - Cookie 管理
- CakePHP - 安全性
- CakePHP - 驗證
- CakePHP - 建立驗證器
- CakePHP - 分頁
- CakePHP - 日期和時間
- CakePHP - 檔案上傳
- CakePHP 有用資源
- CakePHP - 快速指南
- CakePHP - 有用資源
- CakePHP - 討論
CakePHP - 安全性
安全性是構建 web 應用程式的另一個重要功能。它向網站使用者保證他們的資料是安全的。CakePHP 提供了一些工具來保護您的應用程式。
加密和解密
CakePHP 中的安全庫提供了一些方法,我們可以用這些方法來加密和解密資料。以下是用於此目的的兩種方法。
static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null) static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)
encrypt 方法將文字和金鑰作為引數來加密資料,返回值將是帶有 HMAC 校驗和的加密值。
要雜湊資料,使用hash()方法。以下是 hash() 方法的語法。
static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)
CSRF
CSRF 代表跨站點請求偽造。透過啟用 CSRF 元件,您可以獲得針對攻擊的保護。CSRF 是 web 應用程式中常見的漏洞。
它允許攻擊者捕獲並重播之前的請求,有時還會使用其他域上的影像標籤或資源提交資料請求。可以透過簡單地將CsrfComponent新增到您的元件陣列中來啟用 CSRF,如下所示:
public function initialize(): void {
parent::initialize();
$this->loadComponent('Csrf');
}
CsrfComponent 與FormHelper無縫整合。每次使用 FormHelper 建立表單時,它都會插入一個包含 CSRF 令牌的隱藏欄位。
雖然不推薦這樣做,但您可能希望在某些請求上停用 CsrfComponent。您可以在beforeFilter()方法期間使用控制器的事件排程程式來做到這一點。
public function beforeFilter(Event $event) {
$this->eventManager()->off($this->Csrf);
}
安全元件
安全元件對您的應用程式應用更嚴格的安全措施。它為各種任務提供方法,例如:
限制應用程式接受的 HTTP 方法 - 在執行副作用之前,您應該始終驗證正在使用的 HTTP 方法。您應該檢查 HTTP 方法或使用Cake\Network\Request::allowMethod()來確保使用了正確的 HTTP 方法。
表單篡改保護 - 預設情況下,SecurityComponent 可防止使用者以特定方式篡改表單。SecurityComponent 將阻止以下行為:
無法向表單新增未知欄位。
無法從表單中刪除欄位。
隱藏輸入中的值不能被修改。
要求使用 SSL - 所有操作都需要 SSL 保護
限制跨控制器通訊 - 我們可以限制哪些控制器可以向此控制器傳送請求。我們還可以限制哪些操作可以向此控制器的操作傳送請求。
示例
按照以下程式中所示更改config/routes.php檔案。
config/routes.php
<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
$builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
'httpOnly' => true,
]));
$builder->applyMiddleware('csrf');
//$builder->connect('/pages',
['controller'=>'Pages','action'=>'display', 'home']);
$builder->connect('login',['controller'=>'Logins','action'=>'index']);
$builder->fallbacks();
});
在src/Controller/LoginsController.php處建立一個LoginsController.php檔案。將以下程式碼複製到控制器檔案中。
src/Controller/LoginsController.php
<?php
namespace App\Controller;
use App\Controller\AppController;
class LoginsController extends AppController {
public function initialize() : void {
parent::initialize();
$this->loadComponent('Security');
}
public function index(){
}
}
?>
在src/Template中建立一個目錄Logins,並在該目錄下建立一個名為 index.php 的View檔案。將以下程式碼複製到該檔案中。
src/Template/Logins/index.php
<?php
echo $this->Form->create(NULL,array('url'=>'/login'));
echo $this->Form->control('username');
echo $this->Form->control('password');
echo $this->Form->button('Submit');
echo $this->Form->end();
?>
透過訪問以下 URL 來執行上述示例:https:///cakephp4/login
輸出
執行後,您將收到以下輸出。
