作者afgn (蘇大寶)
看板PHP
標題[請益] 請問開發網站為了資安可以不要用框架嗎?
時間Fri Jul 18 14:53:51 2014
如題,
我會PHP, 但又不想學框架(Zend、Symphony、CodeIgniter、Yii),
可以只用 PEAR 嗎? 或是什麼都不用? 直接用PHP的一些函數來避免
SQJ Injection、XSS ?
有沒有相關文件可以參考? 謝謝 ^_^
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.161.53.129
※ 文章網址: http://webptt.com/m.aspx?n=bbs/PHP/M.1405666435.A.3F9.html
1F:→ MOONRAKER:PEAR不是套件管理嗎 你做網站可以把PEAR做進去? 07/18 15:08
2F:→ MOONRAKER:有創意! 07/18 15:08
3F:→ afgn:我是說只用PEAR的一些套件, 請勿無聊抓語病 07/18 15:57
4F:→ CaptainH:中文先練好再說, 看標題還以為現在的框架都有資安問題 07/18 16:09
5F:噓 MOONRAKER:誰跟你無聊了 講得不清不楚架子倒是很大啊 07/18 16:22
6F:噓 Fantasywind:國文老師: 07/18 17:03
7F:噓 thitbbeb:被標題騙進來以為framework都有資安問題 07/18 17:22
8F:→ afgn:看來這邊的程度都不太好, 只在乎作文程度, 跟教育部有得拼... 07/18 17:47
9F:噓 CaptainH:Zzz 慢走不送 07/18 17:49
10F:→ coldollsheep:簡單回答你 可以 大型網站其實會避免用框架 07/18 18:09
11F:→ coldollsheep:google很多資料 大多是以函式的方式實作 07/18 18:10
12F:→ alpe:干Framework啥事, 資不資安不是fw, 是工程師的能力問題 07/18 18:25
13F:噓 tanson:表達能力也是工程師必備能力,表達的不清不楚,甚至跟原意 07/18 19:57
14F:→ tanson:差很多,請問是要怎麼跟人溝通? 07/18 19:57
15F:→ danny8376:自己老闆自己工程師就可以不管溝通啦... 07/18 20:41
16F:→ danny8376:不... 這樣反倒會不清楚消費者要啥XD 07/18 20:42
17F:→ alog:資安涉略地方很廣,不會因為你用 Framework 就沒問題 07/18 21:15
18F:→ alog:所以你想自己設計框架或完全不用框架的設計模式來製作程序 07/18 21:16
19F:→ alog:也是可以 但相對的,你的實戰經驗就必須要很豐富 07/18 21:16
20F:→ alog:一方面你多少都要懂得打站 一方面也要懂得知道要寫單元測試或 07/18 21:17
21F:→ alog:安排測試腳本try你的網站運作,確保你設計的機制是有做動的 07/18 21:18
22F:→ alog:但怎樣判斷程序回來的結果程是是正確的? 我列以下幾點供參考 07/18 21:19
23F:→ alog:1. 多 follow 國內外的資訊安全消息 07/18 21:19
24F:→ alog:2. 多多研究 exploit 的 demo source code 了解攻擊手法 07/18 21:19
25F:→ alog:因為那種東西就像是變魔術一樣,你不知道手法,即使你用框架 07/18 21:20
26F:→ alog:系統也保不了你的網站安全 07/18 21:20
27F:→ alog:3. 要注意一些程式語言的動態或相關資訊新聞 07/18 21:21
28F:→ alog:因為現在的已經不向過往,用一個語言幹全部的事,很多都採用 07/18 21:22
29F:→ alog:有特色的語言 or 框架架構來解一些性能上比較不足的地方 07/18 21:22
30F:→ alog:但是這種異質的架構往往都會帶來一些安全隱憂 07/18 21:23
31F:→ alog:如果不知道這方面的訊息,就像 2. 一樣,有天你的機子也會掛 07/18 21:24
32F:→ alog:4. 可以不用使用框架,但要懂得他的優劣、特點以及設計方式 07/18 21:27
33F:→ alog:5. 伺服器安全/設定需要去關注/研究,善用裡面的模組、設定 07/18 21:30
34F:→ alog:因為很多攻擊或許不是衝著你用的程式,而是看準你不會調校 07/18 21:30
35F:→ alog:試圖進行癱瘓或try 0day想辦法弄到主機權限 07/18 21:31
36F:→ alog:又或者不當的設定下,暴露了一些重要程式的位置 或 可以下載 07/18 21:32
37F:→ alog:特定的檔案資料,所以說,善用主機設定跟調校 07/18 21:32
38F:→ alog:不僅性能上的運作可以壓榨出server的極限外,安全性也能因為 07/18 21:33
39F:→ alog:你的設定得到更高標準的防護 避免資料無端流出 07/18 21:33
40F:噓 laxgenius:推alog大。噓原po~架子真大! 07/18 22:05
41F:噓 crossdunk:alog大都能回一篇來賺P幣了XD 07/18 23:16
42F:推 up9cloud:推alog佛心來著... 07/19 08:25
43F:噓 PoloHuang117: 07/19 12:55
44F:→ xxxzzz:誠心建議先學問問題該有的EQ 07/19 19:32
45F:→ Bambe:以為框架怎麼了+1... 結果只是因為不想學框架... 07/19 23:03
46F:→ afgn:謝謝指教 ^_^ 07/20 06:36
47F:噓 kobala:其實只是不想多學,不是真的懂injection跟xss吧 ZZZ 07/21 17:35
48F:噓 laxgenius:謝謝指教勒~ 07/23 19:05
49F:→ lovelycateye:你會PHP到何種程度?可以自己寫框架的程度了嗎? 07/25 14:51
50F:→ xyz2222aqaq: 強…… 09/17 19:10