Security symfony2和x27中的安全性;邮政价值
我的网站中有文本框。此文本框使用form和post方法提供文本值。 此表单在数据库中搜索特殊文本。Security symfony2和x27中的安全性;邮政价值,security,symfony,xss,sql-injection,Security,Symfony,Xss,Sql Injection,我的网站中有文本框。此文本框使用form和post方法提供文本值。 此表单在数据库中搜索特殊文本。 如何确定来自sql injectin或xss的安全输入数据。由于Symfony2中ORM数据库样式的性质,您自然会受到sql注入的保护。与配置或验证程序类设置的约束不匹配的数据在到达数据库之前将被拒绝 数据在传递到请求类之前自动编码。XSS是不可能的,因为在接收端和输出端,数据都不是原始形式,除非您指定它是原始形式,在这种情况下,您无论如何都会否定内置的安全性 表单中的XSS不可行,因为默认情况下
如何确定来自sql injectin或xss的安全输入数据。由于Symfony2中ORM数据库样式的性质,您自然会受到sql注入的保护。与配置或验证程序类设置的约束不匹配的数据在到达数据库之前将被拒绝 数据在传递到请求类之前自动编码。XSS是不可能的,因为在接收端和输出端,数据都不是原始形式,除非您指定它是原始形式,在这种情况下,您无论如何都会否定内置的安全性 表单中的XSS不可行,因为默认情况下Symfony(在使用表单类时)将在表单提交中创建CSRF令牌,以验证请求的发送方。除非您专门禁用它们,否则它们将自动生成并包含在隐藏字段中 symfony的内置功能只是第一步,最佳做法是使用数据转换器来确保数据的格式和类型符合您的预期 数据转换器: 最后,关于SQL注入,使用内置查询生成器或使用DQL语言(如果您使用的是条令)是另一个安全层,可以在使用高度定制的查询时防止注入