国产av日韩一区二区三区精品,成人性爱视频在线观看,国产,欧美,日韩,一区,www.成色av久久成人,2222eeee成人天堂

目錄
加密與解密
CSRF
安全組件
範(fàn)例
輸出
首頁 後端開發(fā) php教程 CakePHP 安全性

CakePHP 安全性

Sep 10, 2024 pm 05:26 PM
php cakephp PHP framework

安全性是建立 Web 應(yīng)用程式時的另一個重要功能。它向網(wǎng)站用戶保證他們的資料是安全的。 CakePHP 提供了一些工具來保護(hù)您的應(yīng)用程式。

加密與解密

CakePHP中的安全庫提供了方法,透過這些方法我們可以對資料進(jìn)行加密和解密。以下是兩種方法,用途相同。 

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

加密方法將以文字和金鑰作為參數(shù)對資料進(jìn)行加密,傳回值將是經(jīng)過 HMAC 校驗和的加密值。

要對資料進(jìn)行雜湊處理,請使用 hash() 方法。以下是 hash() 方法的語法。 

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF 代表跨站請求偽造。透過啟用 CSRF 元件,您可以免受攻擊。 CSRF 是 Web 應(yīng)用程式中的常見漏洞。

它允許攻擊者捕獲並重播先前的請求,有時還可以使用影像標(biāo)籤或其他網(wǎng)域上的資源提交資料請求。只需將 CsrfComponent 新增至元件陣列即可啟用 CSRF,如下所示 -

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

CsrfComponent 與 FormHelper 無縫整合。每次使用 FormHelper 建立表單時,它都會插入一個包含 CSRF 令牌的隱藏欄位。

雖然不建議這樣做,但您可能想要在某些請求上停用 CsrfComponent。您可以在 beforeFilter() 方法期間使用控制器的事件調(diào)度程序來執(zhí)行此操作。 

public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

安全組件

安全元件為您的應(yīng)用程式應(yīng)用更嚴(yán)格的安全性。它提供了各種任務(wù)的方法,例如 -

  • 限制您的應(yīng)用程式接受哪些 HTTP 方法 - 您應(yīng)該始終驗證在執(zhí)行副作用之前使用的 HTTP 方法。您應(yīng)該檢查 HTTP 方法或使用 CakeNetworkRequest::allowMethod() 以確保使用正確的 HTTP 方法。

  • 表單竄改保護(hù) - 預(yù)設(shè)情況下,SecurityComponent 會阻止使用者以特定方式竄改表單。 SecurityComponent 將阻止以下事情 -

    • 無法將未知欄位新增至表單。

    • 無法從表單中刪除欄位。

    • 隱藏輸入中的值無法修改。

  • 要求使用 SSL - 所有需要 SSL 保護(hù)的操作

  • 限制跨控制器通訊 - 我們可以限制哪個控制器可以向該控制器發(fā)送請求。我們還可以限制哪些操作可以向該控制器的操作發(fā)送請求。

範(fàn)例

config/routes.php 檔案中進(jìn)行更改,如下列程式所示。

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

src/Controller/LoginsController.php 建立一個 LoginsController.php 檔案。 將以下程式碼複製到控制器檔案中。

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

src/Template 處建立目錄 Logins 並在該目錄下建立一個名為 index.php 的 View 檔案。將以下程式碼複製到該文件中。

src/Template/Logins/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

透過造訪以下 URL 來執(zhí)行上述範(fàn)例 - http://localhost/cakephp4/login

輸出

執(zhí)行後,您將收到以下輸出。

Submit Login

以上是CakePHP 安全性的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章!

本網(wǎng)站聲明
本文內(nèi)容由網(wǎng)友自願投稿,版權(quán)歸原作者所有。本站不承擔(dān)相應(yīng)的法律責(zé)任。如發(fā)現(xiàn)涉嫌抄襲或侵權(quán)的內(nèi)容,請聯(lián)絡(luò)admin@php.cn

熱AI工具

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅(qū)動的應(yīng)用程序,用於創(chuàng)建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強(qiáng)大的PHP整合開發(fā)環(huán)境

Dreamweaver CS6

Dreamweaver CS6

視覺化網(wǎng)頁開發(fā)工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

如何在PHP中牢固地處理文件上傳? 如何在PHP中牢固地處理文件上傳? Jul 08, 2025 am 02:37 AM

要安全處理PHP文件上傳需驗證來源與類型、控製文件名與路徑、設(shè)置服務(wù)器限制並二次處理媒體文件。 1.驗證上傳來源通過token防止CSRF並通過finfo_file檢測真實MIME類型使用白名單控制;2.重命名文件為隨機(jī)字符串並根據(jù)檢測類型決定擴(kuò)展名存儲至非Web目錄;3.PHP配置限制上傳大小及臨時目錄Nginx/Apache禁止訪問上傳目錄;4.GD庫重新保存圖片清除潛在惡意數(shù)據(jù)。

您如何按值與PHP中的參考傳遞變量? 您如何按值與PHP中的參考傳遞變量? Jul 08, 2025 am 02:42 AM

InPHP,variablesarepassedbyvaluebydefault,meaningfunctionsorassignmentsreceiveacopyofthedata,whilepassingbyreferenceallowsmodificationstoaffecttheoriginalvariable.1.Whenpassingbyvalue,changestothecopydonotimpacttheoriginal,asshownwhenassigning$b=$aorp

PHP標(biāo)頭位置AJAX調(diào)用不起作用 PHP標(biāo)頭位置AJAX調(diào)用不起作用 Jul 10, 2025 pm 01:46 PM

AJAX請求中header('Location:...')無效的原因是瀏覽器不會自動執(zhí)行頁面跳轉(zhuǎn)。因為在AJAX請求中,服務(wù)器返回的302狀態(tài)碼和Location頭信息會被作為響應(yīng)數(shù)據(jù)處理,而不是觸發(fā)跳轉(zhuǎn)行為。解決方法有:1.在PHP中返回JSON數(shù)據(jù)包含跳轉(zhuǎn)URL;2.在前端AJAX回調(diào)中檢查redirect字段並用window.location.href手動跳轉(zhuǎn);3.確保PHP輸出僅為JSON避免解析失敗;4.處理跨域問題需設(shè)置合適的CORS頭;5.防止緩存干擾可加時間戳或設(shè)置cache:f

發(fā)電機(jī)如何在PHP中工作? 發(fā)電機(jī)如何在PHP中工作? Jul 11, 2025 am 03:12 AM

AgeneratorinPHPisamemory-efficientwaytoiterateoverlargedatasetsbyyieldingvaluesoneatatimeinsteadofreturningthemallatonce.1.Generatorsusetheyieldkeywordtoproducevaluesondemand,reducingmemoryusage.2.Theyareusefulforhandlingbigloops,readinglargefiles,or

PHP找到了最後一次發(fā)生的位置 PHP找到了最後一次發(fā)生的位置 Jul 09, 2025 am 02:49 AM

在PHP中查找子字符串最後一次出現(xiàn)的位置,最直接的方法是使用strrpos()函數(shù)。 1.使用strrpos()函數(shù)可直接獲取子字符串在主字符串中最後一次出現(xiàn)的起始位置索引,若未找到則返回false,語法為strrpos($haystack,$needle,$offset=0)。 2.若需忽略大小寫,可使用strripos()函數(shù)實現(xiàn)不區(qū)分大小寫的查找。 3.對於中文等多字節(jié)字符,應(yīng)使用mbstring擴(kuò)展中的mb_strrpos()函數(shù)以確保返回字符位置而非字節(jié)位置。 4.注意strrpos()返回f

如何防止PHP中的會話劫持? 如何防止PHP中的會話劫持? Jul 11, 2025 am 03:15 AM

要防止PHP中的會話劫持,需採取以下措施:1.使用HTTPS加密傳輸並在php.ini中設(shè)置session.cookie_secure=1;2.設(shè)置安全Cookie屬性,包括httponly、secure和samesite;3.在用戶登錄或權(quán)限變更時調(diào)用session_regenerate_id(true)更換SessionID;4.限制Session生命週期,合理配置gc_maxlifetime並記錄用戶活動時間;5.禁止將SessionID暴露在URL中,設(shè)置session.use_only

如何通過php中的索引訪問字符串中的字符 如何通過php中的索引訪問字符串中的字符 Jul 12, 2025 am 03:15 AM

在PHP中獲取字符串特定索引字符可用方括號或花括號,但推薦方括號;索引從0開始,超出範(fàn)圍訪問返回空值,不可賦值;處理多字節(jié)字符需用mb_substr。例如:$str="hello";echo$str[0];輸出h;而中文等字符需用mb_substr($str,1,1)獲取正確結(jié)果;實際應(yīng)用中循環(huán)訪問前應(yīng)檢查字符串長度,動態(tài)字符串需驗證有效性,多語言項目建議統(tǒng)一使用多字節(jié)安全函數(shù)。

php獲得字符串的第一個N字符 php獲得字符串的第一個N字符 Jul 11, 2025 am 03:17 AM

在PHP中取字符串前N個字符可用substr()或mb_substr(),具體步驟如下:1.使用substr($string,0,N)截取前N個字符,適用於ASCII字符且簡單高效;2.處理多字節(jié)字符(如中文)時應(yīng)使用mb_substr($string,0,N,'UTF-8'),並確保啟用mbstring擴(kuò)展;3.若字符串含HTML或空白字符,應(yīng)先用strip_tags()去除標(biāo)籤、trim()清理空格,再截取以保證結(jié)果乾淨(jìng)。

See all articles