tutorial mejor framework php security codeigniter web-applications frameworks

tutorial - mejor framework php 2018



Buen marco de Php para una seguridad sólida (3)

Estoy tratando de elegir un marco que brinde una muy buena seguridad de las aplicaciones web, protege contra la mayor cantidad posible de OWASP Top-10, tales como:

  • Inyección SQL
  • XSS
  • CSRF
  • Autenticación
  • Autorización
  • etc.

Lo que pasa es que he intentado investigar mucho: Cakephp, Zend, Yii, Code Igniter, Kohana y algunos tienen una autenticación básica , tal vez un poco de autorización, pero nada para cualquier aplicación que necesite una sólida seguridad de código.

¿La mayoría de los tipos de vulnerabilidad anteriores están actualmente protegidos solo escribiendo código personalizado en estos marcos?

Esta es una especie de mi primera experiencia con el uso de marcos, todo hasta este punto ha sido aplicaciones web personalizadas de PHP. Todo mi pensamiento para php-frameworks era que iba a ser fácil protegerse contra estas vulnerabilidades, dado que no es nativo , ¿por qué usar uno? ¿O hay un marco por ahí que no estoy mirando cuál es mejor que los mencionados anteriormente para la seguridad de la aplicación web fuerte? Gracias


Las vulnerabilidades clave que menciona ocurren en capas diferentes y, a veces, múltiples y, a menudo, dependen del contexto de lo que está haciendo, por lo que muchas de ellas ofrecerán las instalaciones para protegerse de estas cosas, pero debe hacer uso de ellas.

Por ejemplo, Symfony (1.x y 2) y Zend Framework tienen un componente / submatriz de formulario que implementa CSRF desde el primer momento. Pero eso no significa que esté activado por defecto (Symfony es ... no recuerdo si zf es o no). Lo mismo con XSS cuando hablamos del lado de escape de salida en la capa de vista.

Ahora, cuando se trata de preferencia de framework para grandes aplicaciones, personalmente me gustan Symfony 1.x y Symfony2, Zend Framework 1.x (no voy a mencionar zf2 porque aún no he jugado con él). Para cosas simples, me gusta Silex (basado en los componentes de Symfony).


También diría que pruebes con CodeIgniter.

Además, CodeIgniter es fácil de usar si está trabajando con un framework por primera vez y tiene una excelente guía de usuario que es realmente fácil de entender.


La seguridad no se puede aplicar a una aplicación como alguna chapa. Cada tipo de problema de seguridad se trata de alguna otra manera, y la mayoría de los frameworks de PHP proporcionan herramientas para escribir código de seguridad:

  • La lucha contra la inyección de HTML / XSS requiere el uso de un motor de plantillas (como Twig) que escapa a los valores de forma predeterminada o un enfoque basado en componentes para mostrar HTML. Ningún marco te ayudará, si permites que las personas carguen sus archivos y los saquen desde tu propio dominio (tienes que usar un dominio separado para eso);

  • Puede evitar la inyección SQL mediante el uso de ayudantes db que escapan de los parámetros de consulta; cada marco que mencionaste proporciona esos (y por supuesto puedes usar PDO simple);

  • Puede luchar contra CSRF mediante el uso de tokens vinculados a la sesión. Cada marco ofrece alguna solución. En cada caso, sin embargo, debe ayudar al marco de alguna forma (agregando un token a cada formulario o utilizando una abstracción de formulario proporcionada por el marco).

Entonces, en cierto modo, sí, debes pensar en la seguridad. No creo que ningún framework PHP pueda hacer más de lo que ya hacen, a menos que haya un gran cambio de paradigma que nos permita diseñar aplicaciones arrastrando coloridos cuadros por la pantalla, sin tocar cosas sucias e inseguras como HTML o SQL. ¿Qué tipo de apoyo esperarías?