回答
在bugspy.net嘗試searhing:http://bugspy.net/search/?q=symfony
我使用symfony框架爲許多應用程序和框架本身是默認情況下很安全。
你可能想要檢查的一件事(這不是一個真正的安全問題)是,開發人員替換了默認的錯誤頁面,我沒有談論404或類似的東西,但是當symfony崩潰時它會自動進入symfony錯誤頁面。
您還可能需要檢查security.yml文件以確保所有需要驗證的模塊都設置爲is_secure:on。
另外我想在settings.yml中有一個選項來設置框架自動轉義邪惡字符以避免XSS。你應該檢查是否有事情正在逃脫。我相信它在1.2中默認開啓。
也許你也可以檢查開發者是否使用了任何奇怪的插件。一些插件不是由symfony的開發人員創建的,他們不能真正保證在其中使用的代碼的質量。
查看Symfony Deployment Cheat Sheet。它有一個很好的檢查清單,以確保您的應用程序已準備好部署。
我現在還沒有想到其他的東西。如果使用symfony 1.2,則不必太擔心框架本身是一個問題。恕我直言。
太棒了!非常有用的信息..感謝您的幫助。 – 2009-11-25 17:34:25
我注意到上傳文件存儲在webroot中 - 因爲這對於symfony應用程序來說很常見,所以我認爲這是安全的。然而,它與我現有的知識相沖突,即上傳應該存儲在webroot後面。任何意見? – 2009-11-26 12:57:10
由於symfonys路由表,這不會造成問題。如果用戶鍵入上傳路徑,路徑本身將首先通過路由表進行分析。如果沒有找到該路徑的路由,則選擇默認路由。上傳文件夾應該保持安全。 – 2009-11-26 13:41:18
Symfony擁有非常強大的開發人員社區,因此識別出的安全漏洞通常會很快修復。
如果您選擇了支持的框架版本,則可能會迅速修復任何安全漏洞。
這太棒了,我會檢查這些 - 正在使用的版本是1.0,但我不確定它是如何保持最新的補丁。 – 2009-11-25 17:35:09
1.0仍然受支持,所以一旦您熟悉框架將其更新到1.0.21 - 或者當時最新的更新。 – 2009-11-26 07:57:24
- 1. static :: vs. self :: - 有沒有什麼缺點?
- 2. 鏈接setter:有沒有缺點?
- 3. android沒有關閉遊標的缺點
- 4. 在Symfony 1.4 ProjectConfiguration類中使用loadHelpers I18N有什麼缺點嗎?
- 5. Symfony(有點動態?)路由
- 6. 使用太多碎片有沒有缺點?
- 7. JSF沒有會話超時。有什麼缺點?
- 8. 閱讀後沒有關閉文件有什麼缺點嗎?
- 9. 使用無任務交換有沒有明顯的缺點?
- 10. boost :: variant樹狀容器 - 有沒有什麼缺點?
- 11. Symfony UploadedFile沒有上傳
- 12. Symfony沒有閱讀phpsessid right
- 13. Symfony的網址沒有app.php
- 14. Symfony插件沒有安裝?
- 15. Symfony的CollectionType沒有實體
- 16. Symfony的3 - 有沒有合適的CSPRNG
- 17. CakePHP有沒有像Symfony的partials?
- 18. 有沒有symfony的任何文檔包?
- 19. 沒有實例化使用類的方法的優點/缺點
- 20. ConcurrentHashMap有什麼缺點嗎?
- 21. VistaDB有什麼缺點
- 22. PHP中session.auto_start有缺點嗎?
- 23. Typed DataSet有什麼缺點
- 24. Apache Wicket有什麼缺點?
- 25. std :: reverse_iterator有什麼缺點?
- 26. H264有什麼缺點?
- 27. 有很多指數有什麼缺點?
- 28. symfony中轉義策略的優缺點
- 29. has_many和has_one,有什麼優點/缺點?
- 30. DevExpress Reports有哪些優點/缺點?
你只想要安全漏洞或一般注意事項? (即性能問題)。無論如何,哪個版本的symfony? – gpilotino 2009-11-25 15:15:36
它使用PHP的事實。 RoR和Django for python更高效 – Roch 2009-11-25 15:41:05
@mnml所以你不能在Ruby或Python中編寫錯誤的代碼嗎?給我休息一下。 – 2009-11-25 15:43:31