作者afgn (苏大宝)
看板PHP
标题[请益] 请问开发网站为了资安可以不要用框架吗?
时间Fri Jul 18 14:53:51 2014
如题,
我会PHP, 但又不想学框架(Zend、Symphony、CodeIgniter、Yii),
可以只用 PEAR 吗? 或是什麽都不用? 直接用PHP的一些函数来避免
SQJ Injection、XSS ?
有没有相关文件可以参考? 谢谢 ^_^
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 218.161.53.129
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/PHP/M.1405666435.A.3F9.html
1F:→ MOONRAKER:PEAR不是套件管理吗 你做网站可以把PEAR做进去? 07/18 15:08
2F:→ MOONRAKER:有创意! 07/18 15:08
3F:→ afgn:我是说只用PEAR的一些套件, 请勿无聊抓语病 07/18 15:57
4F:→ CaptainH:中文先练好再说, 看标题还以为现在的框架都有资安问题 07/18 16:09
5F:嘘 MOONRAKER:谁跟你无聊了 讲得不清不楚架子倒是很大啊 07/18 16:22
6F:嘘 Fantasywind:国文老师: 07/18 17:03
7F:嘘 thitbbeb:被标题骗进来以为framework都有资安问题 07/18 17:22
8F:→ afgn:看来这边的程度都不太好, 只在乎作文程度, 跟教育部有得拼... 07/18 17:47
9F:嘘 CaptainH:Zzz 慢走不送 07/18 17:49
10F:→ coldollsheep:简单回答你 可以 大型网站其实会避免用框架 07/18 18:09
11F:→ coldollsheep:google很多资料 大多是以函式的方式实作 07/18 18:10
12F:→ alpe:干Framework啥事, 资不资安不是fw, 是工程师的能力问题 07/18 18:25
13F:嘘 tanson:表达能力也是工程师必备能力,表达的不清不楚,甚至跟原意 07/18 19:57
14F:→ tanson:差很多,请问是要怎麽跟人沟通? 07/18 19:57
15F:→ danny8376:自己老板自己工程师就可以不管沟通啦... 07/18 20:41
16F:→ danny8376:不... 这样反倒会不清楚消费者要啥XD 07/18 20:42
17F:→ alog:资安涉略地方很广,不会因为你用 Framework 就没问题 07/18 21:15
18F:→ alog:所以你想自己设计框架或完全不用框架的设计模式来制作程序 07/18 21:16
19F:→ alog:也是可以 但相对的,你的实战经验就必须要很丰富 07/18 21:16
20F:→ alog:一方面你多少都要懂得打站 一方面也要懂得知道要写单元测试或 07/18 21:17
21F:→ alog:安排测试脚本try你的网站运作,确保你设计的机制是有做动的 07/18 21:18
22F:→ alog:但怎样判断程序回来的结果程是是正确的? 我列以下几点供参考 07/18 21:19
23F:→ alog:1. 多 follow 国内外的资讯安全消息 07/18 21:19
24F:→ alog:2. 多多研究 exploit 的 demo source code 了解攻击手法 07/18 21:19
25F:→ alog:因为那种东西就像是变魔术一样,你不知道手法,即使你用框架 07/18 21:20
26F:→ alog:系统也保不了你的网站安全 07/18 21:20
27F:→ alog:3. 要注意一些程式语言的动态或相关资讯新闻 07/18 21:21
28F:→ alog:因为现在的已经不向过往,用一个语言干全部的事,很多都采用 07/18 21:22
29F:→ alog:有特色的语言 or 框架架构来解一些性能上比较不足的地方 07/18 21:22
30F:→ alog:但是这种异质的架构往往都会带来一些安全隐忧 07/18 21:23
31F:→ alog:如果不知道这方面的讯息,就像 2. 一样,有天你的机子也会挂 07/18 21:24
32F:→ alog:4. 可以不用使用框架,但要懂得他的优劣、特点以及设计方式 07/18 21:27
33F:→ alog:5. 伺服器安全/设定需要去关注/研究,善用里面的模组、设定 07/18 21:30
34F:→ alog:因为很多攻击或许不是冲着你用的程式,而是看准你不会调校 07/18 21:30
35F:→ alog:试图进行瘫痪或try 0day想办法弄到主机权限 07/18 21:31
36F:→ alog:又或者不当的设定下,暴露了一些重要程式的位置 或 可以下载 07/18 21:32
37F:→ alog:特定的档案资料,所以说,善用主机设定跟调校 07/18 21:32
38F:→ alog:不仅性能上的运作可以压榨出server的极限外,安全性也能因为 07/18 21:33
39F:→ alog:你的设定得到更高标准的防护 避免资料无端流出 07/18 21:33
40F:嘘 laxgenius:推alog大。嘘原po~架子真大! 07/18 22:05
41F:嘘 crossdunk:alog大都能回一篇来赚P币了XD 07/18 23:16
42F:推 up9cloud:推alog佛心来着... 07/19 08:25
43F:嘘 PoloHuang117: 07/19 12:55
44F:→ xxxzzz:诚心建议先学问问题该有的EQ 07/19 19:32
45F:→ Bambe:以为框架怎麽了+1... 结果只是因为不想学框架... 07/19 23:03
46F:→ afgn:谢谢指教 ^_^ 07/20 06:36
47F:嘘 kobala:其实只是不想多学,不是真的懂injection跟xss吧 ZZZ 07/21 17:35
48F:嘘 laxgenius:谢谢指教勒~ 07/23 19:05
49F:→ lovelycateye:你会PHP到何种程度?可以自己写框架的程度了吗? 07/25 14:51
50F:→ xyz2222aqaq: 强…… 09/17 19:10