Quanto è sicuro laravel 5.1?

Question

Dopo aver letto sull'iniezione SQL mi chiedo quanto sia sicuro creare app in Laravel e come verificare se la sicurezza soddisfa gli standard odierni?

Answer 1

Ho sviluppato alcune applicazioni Laravel e le ho trovate abbastanza sicure ai miei occhi.

ho eseguito una serie di test di penetrazione, scanner OWASP ZAP, sqlsus e 5+ strumenti tra cui bbqsql e cose simili per le prove di penna DB, nmap per la scansione delle porte, poi commutato in modalità ZAP ad attaccare per eseguire varie XSS e CSRFs e trovato nessuna vulnerabilità da Laravel stessa - solo un paio di cose dal mio server stesso che ho riparato.

È importante dire che nessuna applicazione è sicura al 100% in quanto dipende molto da come si fanno le cose.

Tuttavia, laravel fa fare un buon lavoro, fuori dalla scatola per la protezione da: iniezione

• SQL: se si utilizza Eloquente interroga questi vi terrà al sicuro. Ma sarai vulnerabile se utilizzi le query DB::raw() in quanto possono aprirti all'iniezione.

• CSRF: laravel si prende cura di questo con CSRF token che controlla su ogni richiesta POST in modo da assicurarsi di utilizzarli, in sostanza, questo vi protegge da qualcuno cambiare la natura della richiesta, cioè POST-GET.

• XSS: per prima cosa disinfettare l'input dell'utente. Le variabili non vengono sfuggite utilizzando la sintassi blade {!! !!}, che viene risolta in <?= e($foo) ?> all'interno del codice HTML, mentre {{ }} sfugge ai dati.

Questa è una bella breve panoramica della sicurezza laravel. Una volta che inizi ad aprirti con i caricamenti di file, ecc., Può essere un po 'più complicato, facendo anche cose non sicure in PHP.

Questo articolo here potrebbe essere una lettura interessante per andare un po 'più in profondità con quanto sopra.

Insomma, ho trovato laravel di essere al sicuro da tutti gli attacchi che abbia mai eseguito utilizzando eloquente e sanificazione di ingresso ove richiesto, insieme con l'uso corretto della sintassi lama e la CSRF token.