回答
在bugspy.net尝试searhing:http://bugspy.net/search/?q=symfony
我使用symfony框架为许多应用程序和框架本身是默认情况下很安全。
你可能想要检查的一件事(这不是一个真正的安全问题)是,开发人员替换了默认的错误页面,我没有谈论404或类似的东西,但是当symfony崩溃时它会自动进入symfony错误页面。
您还可能需要检查security.yml文件以确保所有需要验证的模块都设置为is_secure:on。
另外我想在settings.yml中有一个选项来设置框架自动转义邪恶字符以避免XSS。你应该检查是否有事情正在逃脱。我相信它在1.2中默认开启。
也许你也可以检查开发者是否使用了任何奇怪的插件。一些插件不是由symfony的开发人员创建的,他们不能真正保证在其中使用的代码的质量。
查看Symfony Deployment Cheat Sheet。它有一个很好的检查清单,以确保您的应用程序已准备好部署。
我现在还没有想到其他的东西。如果使用symfony 1.2,则不必太担心框架本身是一个问题。恕我直言。
太棒了!非常有用的信息..感谢您的帮助。 – 2009-11-25 17:34:25
我注意到上传文件存储在webroot中 - 因为这对于symfony应用程序来说很常见,所以我认为这是安全的。然而,它与我现有的知识相冲突,即上传应该存储在webroot后面。任何意见? – 2009-11-26 12:57:10
由于symfonys路由表,这不会造成问题。如果用户键入上传路径,路径本身将首先通过路由表进行分析。如果没有找到该路径的路由,则选择默认路由。上传文件夹应该保持安全。 – 2009-11-26 13:41:18
Symfony拥有非常强大的开发人员社区,因此识别出的安全漏洞通常会很快修复。
如果您选择了支持的框架版本,则可能会迅速修复任何安全漏洞。
这太棒了,我会检查这些 - 正在使用的版本是1.0,但我不确定它是如何保持最新的补丁。 – 2009-11-25 17:35:09
1.0仍然受支持,所以一旦您熟悉框架将其更新到1.0.21 - 或者当时最新的更新。 – 2009-11-26 07:57:24
- 1. static :: vs. self :: - 有没有什么缺点?
- 2. 链接setter:有没有缺点?
- 3. android没有关闭游标的缺点
- 4. 在Symfony 1.4 ProjectConfiguration类中使用loadHelpers I18N有什么缺点吗?
- 5. Symfony(有点动态?)路由
- 6. 使用太多碎片有没有缺点?
- 7. JSF没有会话超时。有什么缺点?
- 8. 阅读后没有关闭文件有什么缺点吗?
- 9. 使用无任务交换有没有明显的缺点?
- 10. boost :: variant树状容器 - 有没有什么缺点?
- 11. Symfony UploadedFile没有上传
- 12. Symfony没有阅读phpsessid right
- 13. Symfony的网址没有app.php
- 14. Symfony插件没有安装?
- 15. Symfony的CollectionType没有实体
- 16. Symfony的3 - 有没有合适的CSPRNG
- 17. CakePHP有没有像Symfony的partials?
- 18. 有没有symfony的任何文档包?
- 19. 没有实例化使用类的方法的优点/缺点
- 20. ConcurrentHashMap有什么缺点吗?
- 21. VistaDB有什么缺点
- 22. PHP中session.auto_start有缺点吗?
- 23. Typed DataSet有什么缺点
- 24. Apache Wicket有什么缺点?
- 25. std :: reverse_iterator有什么缺点?
- 26. H264有什么缺点?
- 27. 有很多指数有什么缺点?
- 28. symfony中转义策略的优缺点
- 29. has_many和has_one,有什么优点/缺点?
- 30. DevExpress Reports有哪些优点/缺点?
你只想要安全漏洞或一般注意事项? (即性能问题)。无论如何,哪个版本的symfony? – gpilotino 2009-11-25 15:15:36
它使用PHP的事实。 RoR和Django for python更高效 – Roch 2009-11-25 15:41:05
@mnml所以你不能在Ruby或Python中编写错误的代码吗?给我休息一下。 – 2009-11-25 15:43:31