目录

CakePHP - 安全( Security)

安全性是构建Web应用程序的另一个重要特性。 它向网站用户保证他们的数据是安全的。 CakePHP提供了一些工具来保护您的应用程序。

加密和解密

CakePHP中的安全库提供了我们可以加密和解密数据的方法。 以下是用于相同目的的两种方法。

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

encrypt方法将text和key作为加密数据的参数,返回值将是带有HMAC校验和的加密值。

要散列数据hash()方法。 以下是hash()方法的语法。

语法 (Syntax)

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF代表Cross Site Request Forgery 。 通过启用CSRF组件,您可以获得针对攻击的保护。 CSRF是Web应用程序中的常见漏洞。 它允许攻击者捕获和重放先前的请求,有时使用图像标记或其他域上的资源提交数据请求。 只需将CsrfComponent添加到组件数组即可启用CSRF,如下所示。

public function initialize(){
   parent::initialize();
   $this->loadComponent('Csrf');
}

CsrfComponent与FormHelper无缝集成。 每次使用FormHelper创建表单时,它都会插入一个包含CSRF令牌的隐藏字段。

虽然不建议这样做,但您可能希望在某些请求中禁用CsrfComponent。 您可以在beforeFilter() method期间使用控制器的事件调度程序执行此操作。

public function beforeFilter(Event $event){
   $this->eventManager()->off($this->Csrf);
}

安全组件

Security Component为您的应用程序应用更严格的安全性。 它提供各种任务的方法,如 -

  • Restricting which HTTP methods your application accepts的HTTP方法 - 在执行副作用之前,应始终验证正在使用的HTTP方法。 您应该检查HTTP方法或使用Cake\Network\Request::allowMethod()以确保使用正确的HTTP方法。

  • Form tampering protection - 默认情况下,SecurityComponent会阻止用户以特定方式篡改表单。 SecurityComponent将阻止以下事情 -

    • 无法将字段添加到表单中。

    • 无法从表单中删除字段。

    • 隐藏输入中的值无法修改。

  • Requiring that SSL be used - 要求SSL安全的所有操作。

  • Limiting cross controller communication - 我们可以限制哪个控制器可以向该控制器发送请求。 我们还可以限制哪些操作可以向此控制器的操作发送请求。

例子 (Example)

config/routes.php文件中进行更改,如以下程序所示。

config/routes.php

<?php
   use Cake\Core\Plugin;
   use Cake\Routing\RouteBuilder;
   use Cake\Routing\Router;
   Router::defaultRouteClass('DashedRoute');
   Router::scope('/', function (RouteBuilder $routes) {
      $routes->connect('login',['controller'=>'Logins','action'=>'index']);
      $routes->fallbacks('DashedRoute'); 
   });
   Plugin::routes();

src/Controller/LoginsController.php创建一个LoginsController.php文件。 将以下代码复制到控制器文件中。

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController{
      public function initialize(){
         parent::initialize();
         $this->loadComponent('Security');
      }
      public function index(){
      }
   }
?>

创建目录登录src/Template并在该目录下创建一个名为index.ctpView文件。 复制该文件中的以下代码。

src/Template/Logins/index.ctp

<?php
   echo $this->Form->create("Logins",array('url'=>'/login'));
   echo $this->Form->input('username');
   echo $this->Form->input('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

通过访问以下URL执行上述示例 - http://localhost:85/CakePHP/login

输出 (Output)

执行后,您将收到以下输出。

洛金斯
↑回到顶部↑
WIKI教程 @2018