我正在构建一个网络应用程序,并希望添加一些“体面”的安全级别。它不是下一代银行平台,因此不需要过度杀戮。但是,我确实希望保护您免受当地社区黑客的侵害,因为该应用程序估计有 10k 用户使用。
为了做到这一点,我想我试试 Codeigniter。我不习惯这个框架,所以我只会将它用于“更简单”的安全处理。请注意,我不是网络安全方面的专家。
基本上,我将在我的代码中添加/修改的是:
处理SQL 注入:使用查询绑定。
处理XSS:在配置文件中启用它:
$config['global_xss_filtering'] = TRUE;. 文档说过滤器在每次遇到 POST 或 COOKIE 数据时都会自动运行。我怎样才能保护这样的输出(使用 codeingniter),而不是?$name = $_GET['name']; echo "Hi $name!";处理CSRF:在配置文件中启用它:
$config['csrf_protection'] = TRUE;处理会话黑客:使用这样的会话:
$this->session->userdata('userid');
正如我所说,我不是安全专家,因此我想知道这些(并且只有这些)修改是否会给我一个可接受的安全级别,或者是否存在仍然需要研究的严重安全线程?
关于我的应用程序的其他一些说明:
- 我的应用程序不允许用户将文件上传到我的服务器。
- 登录由 Facebook 完成。在重要页面上,我验证访问令牌(它是否由我的应用程序发出,是否为当前登录的用户发出等。如果没有,页面将不会加载),以及权限/管理员权限,所以我认为自动化和身份验证部分足够安全。