简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
기사
Q&A
강의
주제
다운로드
게임
사전
최근 업데이트

 >  기사  >  백엔드 개발  >  CakePHP 보안

CakePHP 보안

PHPz
PHPz원래의
2024-09-10 17:26:531036검색

보안은 웹 애플리케이션 구축 시 또 다른 중요한 기능입니다. 이는 웹사이트 사용자에게 데이터가 안전하다는 것을 보장합니다. CakePHP는 애플리케이션 보안을 위한 몇 가지 도구를 제공합니다.

암호화 및 복호화

CakePHP의 보안 라이브러리는 데이터를 암호화하고 해독할 수 있는 방법을 제공합니다. 다음은 같은 목적으로 사용되는 두 가지 방법입니다.

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

암호화 방법은 텍스트와 키를 인수로 사용하여 데이터를 암호화하고 반환 값은 HMAC 체크섬을 사용하여 암호화된 값이 됩니다.

데이터를 해싱하기 위해서는 hash() 메소드를 사용합니다. hash() 메소드의 구문은 다음과 같습니다.

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF는 Cross Site Request Forgery의 약자입니다. CSRF 구성 요소를 활성화하면 공격으로부터 보호받을 수 있습니다. CSRF는 웹 애플리케이션의 일반적인 취약점입니다.

이를 통해 공격자는 이전 요청을 캡처하고 재생할 수 있으며 때로는 다른 도메인의 이미지 태그나 리소스를 사용하여 데이터 요청을 제출할 수도 있습니다. 아래와 같이 CsrfComponent를 구성 요소 배열에 추가하면 CSRF를 활성화할 수 있습니다. −

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

CsrfComponent는 FormHelper와 원활하게 통합됩니다. FormHelper를 사용하여 양식을 생성할 때마다 CSRF 토큰이 포함된 숨겨진 필드가 삽입됩니다.

권장되지는 않지만 특정 요청에서는 CsrfComponent를 비활성화할 수 있습니다. beforeFilter() 메서드

중에 컨트롤러의 이벤트 디스패처를 사용하면 됩니다. 
public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

보안 구성요소

보안 구성요소는 애플리케이션에 더욱 엄격한 보안을 적용합니다. −

과 같은 다양한 작업에 대한 방법을 제공합니다.

  • 애플리케이션이 허용하는 HTTP 메소드 제한 − 부작용을 실행하기 전에 항상 사용되는 HTTP 메소드를 확인해야 합니다. HTTP 메소드를 확인하거나 CakeNetworkRequest::allowMethod()를 사용하여 올바른 HTTP 메소드가 사용되는지 확인해야 합니다.

  • 양식 변조 방지 - 기본적으로 SecurityComponent는 사용자가 특정 방식으로 양식을 변조하는 것을 방지합니다. SecurityComponent는 다음을 방지합니다 −

    • 알 수 없는 필드는 양식에 추가할 수 없습니다.

    • 양식에서 필드를 제거할 수 없습니다.

    • 숨겨진 입력값은 수정할 수 없습니다.

  • SSL 사용 요구 − SSL 보안을 요구하는 모든 작업

  • 컨트롤러 간 통신 제한 − 이 컨트롤러에 요청을 보낼 수 있는 컨트롤러를 제한할 수 있습니다. 또한 이 컨트롤러의 작업에 요청을 보낼 수 있는 작업을 제한할 수도 있습니다.

다음 프로그램과 같이 config/routes.php 파일을 변경합니다.

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

src/Controller/LoginsController.php에서 LoginsController.php 파일을 생성합니다. 컨트롤러 파일에 다음 코드를 복사합니다.

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

src/TemplateLogins 디렉토리를 만들고 해당 디렉토리 아래에 index.php라는 View 파일을 만듭니다. 해당 파일에 다음 코드를 복사하세요.

src/Template/Logins/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

다음 URL(http://localhost/cakephp4/login)을 방문하여 위의 예를 실행하세요

출력

실행하면 다음과 같은 결과가 출력됩니다.

Submit Login

위 내용은 CakePHP 보안의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

php csrf Array for while require Directory Token restrict using Event copy default this http ssl
성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
이전 기사:CakePHP 쿠키 관리다음 기사:CakePHP 쿠키 관리

관련 기사

더보기