Security 从安全角度来看，PHP框架提供了哪些优势？

PHP有许多可用的PHP框架，即-

• 泽德

• CakePHP

• 共点火器

• 西蒙尼
  等等

大多数框架都关注哪些与安全相关的问题？

（据我所知（跨站点脚本（XSS））漏洞是由大多数人处理的，如果我们使用这些方法。他们中的大多数人还关心哪些其他问题？）

在项目中使用框架的同时，还需要注意哪些安全问题？

编辑：就我而言，我使用的是codeigniter框架。

[垃圾邮件]
不久前，我创建了一个小概览表：其中包括一些关于web应用程序安全性基本基石的总结：

• 数据库转义/或参数化SQL（例如通过ORMs）
• 输入过滤/消毒
• 输出编码
• 授权哈希函数（如果有）
• 前端和管理后端分离（未完成，大部分不适用）

---

如果我想概括一下，大框架确实涵盖了很多内容。因此，真正的问题成为业务/处理层的逻辑疏忽。

这是一个模糊的问题，因为它完全取决于您所谈论的框架

您列出的所有框架都使用某种数据库抽象层，无论是简单的查询生成器还是更大的ActiveRecord/ORM实现。这些数据库抽象层将在大多数情况下停止SQL注入

CodeIgniter提供了一个加密类，它将帮助您生成密码和随机字符串。在您的主配置文件中有一个“加密密钥”，它将特定于您的应用程序。这意味着您的应用程序将对另一个应用程序具有唯一的salt，因此，如果有人获得您数据库的副本/访问权限，他们将无法计算出密码

---

每个框架都有很多其他特定的安全特性，但这些都是基础。

无论在确保PHP框架的安全方面投入了多少精力和心思，现实情况是总有改进的余地，即使像Codeigniter这样的框架提供XSS、输入过滤、，请求验证、数据库抽象和其他好东西，总会有bug和问题

永远不要仅仅依赖于框架的内置安全保护方法。经常阅读框架是如何做的，理解其逻辑，然后在发现某个框架不如应该的安全时重写它以满足您的需要

然而，如上所述，我已经使用Codeigniter几个月了，并且在一些高端、高流量的网站上使用过，不能说我遇到过任何安全问题或漏洞。当涉及到安全性时，框架的一个真正优势是，它们可能会保护您免受某种您一开始就不知道存在的攻击（这是一个了不起的奖励）

阅读Codeigniter和其他框架如何解决安全问题并保护您的应用程序，您会发现它将增强您的开发知识，并在将来编写需要严格安全性和高可靠性的大规模应用程序时使您受益