YIIアプリケーションのセキュリティを確保するには、入力検証、認(rèn)証と承認(rèn)、データベースセキュリティ、エラー処理、構(gòu)成管理の5つの側(cè)面から始まる必要があります。 1.入力検証は、モデルルールを使用して、必要な電子メール、文字列バリデーター、HTMLPurifierを組み合わせてXSS攻撃を防ぐなどのユーザー入力をフィルタリングする必要があります。 2。認(rèn)証に関しては、YIIのRBAC管理権限を使用して、AccessControlを介したアクセスの役割を制限する必要があります。 3.データベース操作は、SQLインジェクションを防ぎ、ハードコーディングされたデータベース資格情報(bào)を避けるために、パラメーター化されたクエリに依存する必要があります。 4.エラー処理には、デバッグモードの電源を切る必要があります。カスタムエラーページの設(shè)定、ログの記録が必要です。 5.構(gòu)成管理は、脆弱性を修正するために、フレームワークと依存関係ライブラリを定期的に更新する必要があります。

YIIアプリケーションのセキュリティを確保するために、主にいくつかの重要な側(cè)面から始めます：入力検証、認(rèn)証と認(rèn)証、データベースセキュリティ、エラー処理、構(gòu)成管理。ここにいくつかの実用的な提案があります。

入力検証とフィルタリング

ユーザー入力は、潛在的な攻撃への主要な入り口の1つです。 YIIは強(qiáng)力なモデル検証メカニズムを提供し、 rules()メソッドの合理的な使用により、悪意のあるデータがシステムに入るのを効果的に防ぐことができます。例えば：

• 入力形式を制限するには、 required 、 email 、 stringなどの組み込みのバリデーターを使用します。
• HTML入力の場合、XSS攻撃を防ぐために、 yii\helpers\HtmlPurifierを使用してコンテンツをクリーンアップするためにfilter検証裝置を使用する必要があります。
• Get、Post、Cookie、HTTPヘッダーなど、クライアントがサビされたデータを信頼しないでください。

一般的な慣行は、モデルのルールを定義することです。

パブリック関數(shù)ルール（）
{
    戻る [
        [['username'、 'email']、「必須」]、
        ['メール'、 'メール']、
        ['username'、 'string'、 'max' => 255]、
    ];
}

認(rèn)証と許可制御

YIIのRBAC（ロールベースのアクセス制御）機(jī)能は非常に強(qiáng)力であり、正しい使用はアプリケーションでの敏感な操作を効果的に保護(hù)することができます。

• yii\web\Userコンポーネントを使用して、ログインステータスを管理し、Cookie暗號(hào)化を有効にします。
• RBACを有効にし、異なるユーザーに適切なアクセス許可を割り當(dāng)てます。
• ログインドユーザーまたは特定の役割のみのAccessControlフィルターを介して特定の操作を制限するなど、コントローラーまたはモジュールレベルでアクセスルールを設(shè)定します。

例：

パブリック関數(shù)の動(dòng)作（）
{
    戻る [
        「アクセス」=> [
            'class' => \ yii \ filters \ accessControl :: class、
            「ルール」=> [
                [
                    「許可」=> true、
                    「役割」=> ['@']、//ユーザーのみに記録されているだけでアクセスできます]、
            ]、、
        ]、、
    ];
}

データベースのセキュリティとSQLインジェクション保護(hù)

YiiのActiverCordおよびクエリビルダーは、デフォルトでパラメーター化されたクエリを使用しています。これはすでにSQLインジェクションから十分に保護(hù)されています。ただし、次のポイントに注意する必要があります。

• 元のSQLのスプライシングを避けるようにしてください。ネイティブクエリを書く必要がある場合は、バインディングパラメーターを使用してください。
• データベースの資格情報(bào)をバージョン制御システムに公開しないでください。環(huán)境変數(shù)または.envファイルを介してロードする必要があります。
• 既知の脆弱性を修正するために、依存関係ライブラリとフレームワークコアを定期的に更新します。

エラー処理とロギング

詳細(xì)なエラー情報(bào)は、実稼働環(huán)境でエンドユーザーに表示されるべきではありませんが、トラブルシューティングのために十分なログを保持する必要があります。

• デバッグモード（ YII_DEBUG = false ）をオフにし、GIIやその他の開発ツールをオフにします。
• 技術(shù)的な詳細(xì)を非表示にするには、カスタムエラーページを設(shè)定します。
• YIIのログコンポーネントを使用して例外を記録し、定期的にログファイルを確認(rèn)します。

たとえば、構(gòu)成ファイルに設(shè)定してください。

 「コンポーネント」=> [
    'errorhandler' => [
        'erroraction' => 'サイト/エラー'、
    ]、、
]、、

基本的にそれだけです。特に複雑ではありませんが、リンクの1つが無視されている場合、深刻な安全リスクをもたらす可能性があります。

以上がYIIアプリケーションを保護(hù)するためのベストプラクティスは何ですか？の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國語 Web サイトの他の関連記事を參照してください。