CodeIgniter4 中文用户指南
CodeIgniter4 中文用户指南
  1. CodeIgniter4 介绍
    1. 欢迎使用CodeIgniter4
    2. CodeIgniter4 服务器安装要求
    3. CodeIgniter4 发展历程与贡献者
    4. CodeIgniter4 PSR 规范
  2. CodeIgniter4 安装
    1. CodeIgniter4 手动安装
    2. CodeIgniter4 通过Composer安装
    3. CodeIgniter4 运行你的应用程序
    4. CodeIgniter4 从老版本升级
    5. CodeIgniter4 故障排除
    6. CodeIgniter 仓库
  3. CodeIgniter4 构建应用
    1. CodeIgniter4 加载静态页
    2. CodeIgniter4 新闻展示功能
    3. CodeIgniter4 创建新闻项目
    4. CodeIgniter4 结束语
  4. CodeIgniter4 概览
    1. CodeIgniter4 应用结构
    2. CodeIgniter4 模型,视图和控制器
    3. CodeIgniter4 自动加载文件
    4. CodeIgniter4 服务
    5. CodeIgniter4 处理HTTP请求
    6. CodeIgniter4 安全指南
  5. CodeIgniter4 常规主题
    1. CodeIgniter4 利用配置文件开始工作
    2. CodeIgniter URL
    3. CodeIgniter4 辅助函数
    4. CodeIgniter4 公共函数和全局常量
    5. CodeIgniter4 记录日志信息
    6. CodeIgniter4 错误处理
    7. CodeIgniter4 网页缓存
    8. CodeIgniter4 AJAX请求
    9. CodeIgniter4 代码模块
    10. CodeIgniter4 管理多个应用
    11. CodeIgniter4 处理多环境
  6. CodeIgniter4 控制器和路由
    1. CodeIgniter4 控制器
    2. CodeIgniter4 URL路由
    3. CodeIgniter4 控制器过滤器
    4. CodeIgniter4 HTTP 消息
    5. CodeIgniter4 Request 类
    6. CodeIgniter4 IncomingRequest类
    7. CodeIgniter4 内容协商
    8. CodeIgniter4 HTTP 类型伪装
    9. CodeIgniter4 处理RESTful请求资源
  7. CodeIgniter4 构建响应
    1. CodeIgniter4 视图
    2. CodeIgniter4 子视图
    3. CodeIgniter4 视图渲染器
    4. CodeIgniter4 视图布局
    5. CodeIgniter4 视图解析器
    6. CodeIgniter4 HTML Table 类
    7. CodeIgniter4 HTTP 响应
    8. CodeIgniter4 API 响应特性
    9. CodeIgniter4 本地化
    10. CodeIgniter4 在视图文件中使用PHP替代语法
  8. CodeIgniter4 数据库参考
    1. CodeIgniter4 数据库快速入门:示例代码
    2. CodeIgniter4 数据库配置
    3. CodeIgniter4 连接数据库
    4. CodeIgniter4 执行查询
    5. CodeIgniter4 生成查询结果
    6. CodeIgniter4 查询辅助函数
    7. CodeIgniter4 查询构造器类
    8. CodeIgniter4 事务
    9. CodeIgniter4 获取元数据
    10. CodeIgniter4 自定义函数调用
    11. CodeIgniter4 数据库事件
    12. CodeIgniter4 数据库工具
  9. CodeIgniter4 数据建模
    1. 使用 CodeIgniter 的模型
    2. CodeIgniter4 使用实体类
  10. CodeIgniter4 管理数据库
    1. CodeIgniter4 使用 Database Forge 维护数据库
    2. CodeIgniter4 数据库迁移
    3. CodeIgniter4 数据库填充
  11. CodeIgniter4 类库参考
    1. CodeIgniter4 缓存驱动器
    2. CodeIgniter4 CURLRequest类
    3. CodeIgniter4 Email 类
    4. CodeIgniter4 加密服务
    5. CodeIgniter4 使用文件类
    6. CodeIgniter4 Honeypot 类
    7. CodeIgniter4 图像处理类
    8. CodeIgniter4 分页类
    9. CodeIgniter4 安全类
    10. CodeIgniter4 Session 类
    11. CodeIgniter4 限流类
    12. CodeIgniter4 日期与时间类
    13. CodeIgniter4 Typography 类
    14. CodeIgniter4 使用文件上传类
    15. CodeIgniter4 使用 URI 类
    16. CodeIgniter4 用户代理类
    17. CodeIgniter4 验证方式
  12. CodeIgniter4 辅助函数
    1. CodeIgniter4 Array Helper
    2. CodeIgniter4 Cookie 辅助函数
    3. CodeIgniter4 Date Helper
    4. CodeIgniter4 文件系统辅助函数
    5. CodeIgniter4 表单辅助函数
    6. CodeIgniter4 HTML 辅助函数
    7. CodeIgniter4 偏转辅助函数
    8. CodeIgniter4 数字辅助函数
    9. CodeIgniter4 安全辅助函数
    10. CodeIgniter4 文本辅助函数
    11. CodeIgniter4 URL 辅助函数
    12. CodeIgniter4 XML 辅助函数
  13. CodeIgniter4 测试
    1. CodeIgniter4 测试入门
    2. CodeIgniter4 数据库测试
    3. CodeIgniter4 控制器测试
    4. CodeIgniter4 HTTP 测试
    5. CodeIgniter4 基准测试类
    6. CodeIgniter4 调试你的应用
  14. CodeIgniter4 命令行用法
    1. CodeIgniter4 通过CLI方式运行
    2. CodeIgniter4 自定义CLI命令
    3. CodeIgniter4 CLI Library
    4. CodeIgniter4 CLI Request Class
  15. CodeIgniter4 扩展
    1. CodeIgniter4 创建核心系统类
    2. CodeIgniter4 替换通用函数
    3. CodeIgniter4 事件
    4. CodeIgniter4 扩展控制器
    5. CodeIgniter4 鉴权
    6. 贡献给 CodeIgniter
阅读(1.6k) 书签 (0) 我要纠错

CodeIgniter4 安全指南

2020-08-17 14:28 更新

我们需要认真对待安全问题。 CodeIgniter有多项功能和技术来执行良好的安全习惯,这样你需要做的就比较简单。

我们尊重 开放式Web应用程序安全项目 (OWASP) 组织并且尽可能遵循他们的建议。

以下是来自 OWASP Top Ten Cheat Sheet, 确定 Web 应用程序上的漏洞。针对每一个漏洞,我们提供了一个简短的描述和 OWASP 建议,然后根据 CodeIgniter 的规定来解决这个漏洞。

A1 注入

注入攻击是通过客户端的输入向应用程序发送部分或全部不适当的插入数据。攻击向量包括 SQL、XML、ORM、代码和缓冲区溢出。

OWASP 建议

  • 说明:设置正确的内容类型、字符集和区域
  • 提交:验证字段并且提供反馈
  • 控制器:净化输入;使用正确的字符集验证输入
  • 模型:参数化检查

CodeIgniter 规定

  • HTTP library 提供输入字段和内容元数据的过滤
  • 表格验证库

A2 不严谨的的身份认证和会话管理

不充分的身份验证或不恰当的会话管理会导致用户获得比他们权限更大的权限。

OWASP 建议

  • 说明:验证认证和角色;用表格发送 CSRF token
  • 设计:只使用内置会话管理
  • 控制器:验证用户、角色、CSRF token
  • 模型:验证角色
  • 提示:考虑使用 request 管理器

CodeIgniter 规定

A3 跨站脚本 (XSS)

输入验证不足导致其中一个用户可以将内容添加到一个网站,当其他用户查看该网站时,该网站可能是恶意的。

OWASP 建议

  • 说明:根据输出环境对所有用户数据进行转义;设置输入约束
  • 控制器:正确的输入验证
  • 提示:只处理可信数据;不要将 HTML 转义数据存入数据库中。

CodeIgniter 规定

  • esc 函数
  • 表格验证库

A4 直接引用不安全的对象

当应用程序根据用户提供的输入提供直接访问时,就会发生不安全的直接对象引用。由于此漏洞,攻击者可以绕过系统中的授权直接访问资源,例如数据库记录或文件。

OWASP 建议

  • 说明:不要暴露内部数据;使用随机的参考图
  • 控制器:获得的数据来自可信任的来源或随机的参考图
  • 模型: 更新数据之前验证用户角色

CodeIgniter 规定

  • 表格验证库
  • 容易添加第三方认证

A5 安全配置错误

应用程序体系结构配置不当会导致可能危及整个架构安全性的错误。

OWASP 建议

  • 说明:强化 Web 和应用服务器;使用 HTTP 严格传输安全
  • 控制器:强化 Web 和应用服务器;保护 XML 堆栈
  • 模型:强化数据库服务器

CodeIgniter 规定

  • bootstrap 合理的检查

A6 敏感信息泄露

敏感数据在通过网络传输时必须受到保护。敏感数据可以包括用户凭证和信用卡。根据经验,如果数据在存储时必须受到保护,那么它在传输过程中也必须受到保护。

OWASP 建议

  • 说明:使用 TLS1.2 (安全传输层协议);使用强密码和哈希;不要把 keys 或哈希发送到浏览器
  • 控制器:使用强密码和哈希
  • 模型:加密和服务器的通信和授权

CodeIgniter 规定

  • 存储加密的会话密钥

A7 缺少功能级访问控制

敏感数据在通过网络传输时必须受到保护。敏感数据可以包括用户凭证和信用卡。根据经验,如果数据在存储时必须受到保护,那么它在传输过程中也必须受到保护。

OWASP 建议

  • 说明:确保非Web数据在Web根目录之外;验证用户和角色;发送 CSRF tokens
  • 控制器:验证用户和角色;验证 CSRF tokens
  • 模块: 验证角色

CodeIgniter 规定

  • 公共文件夹,放在 application 和 system 外面
  • HTTP library 提供 CSRF 验证

A8 跨站请求伪造(CSRF)

CSRF是一种攻击,它迫使最终用户在当前已通过身份验证的Web应用程序上执行不必要的操作。

OWASP 建议

  • 说明:验证用户和角色;发送 CSRF tokens
  • 控制器:验证用户和角色;验证 CSRF tokens
  • 模型:验证角色

CodeIgniter 规定

A9 使用含有已知漏洞的组件

许多应用程序都可以利用漏洞和已知的攻击策略,获得远程控制或者得到数据。

OWASP 建议

  • 不要使用这些有漏洞的组件

CodeIgniter 规定

  • 添加第三方库时必须审查

A10 未验证的重定向和转发

错误的业务逻辑或注入可操作的代码可能会错误地重定向用户。

OWASP 建议

  • 说明:不要使用 URL 重定向;使用随机的间接引用
  • 控制器:不要使用 URL 重定向;使用随机的间接引用
  • 模型:验证角色

CodeIgniter 规定

以上内容是否对您有帮助:
CodeIgniter4 处理HTTP请求
CodeIgniter4 常规主题

推荐文章

推荐教程

推荐课程

在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号