Laravelは、一般的なWebの脆弱性からアプリケーションを保護するための堅牢なセキュリティ機能を提供します。すべてのPOST/PUT/PATCH/DELETEフォームに@CSRFを含めることにより、組み込みのCSRF保護を使用し、代わりにAPIトークンを使用して、必要でない限り無効にしないようにします。 1.パラメーターバインディングを介したSQL注入を防ぐために、データベースクエリにEloquent ORMまたはクエリビルダーを活用します。 2?！鸽娮鹰岍`ル」=> '必須|電子メール'などの検証ルールを使用してユーザーの入力をサニタイズし、一貫したデータについては、トリミングや換算型のストリングストンルなどのミドルウェア。 3. Gatesとポリシーを使用してLaravelの認証および承認システムを使用してルートを保護し、認定ユーザーのみが特定のアクションを?qū)g行し、Authのようなミドルウェアを適用して、アクセスを効果的に制限できるようにします。

Laravelには、一般的なWebの脆弱性からアプリケーションを保護するのに役立つ多くの組み込みセキュリティ機能が付屬しています。深刻なものを構(gòu)築している場合、基本的なセットアップだけに依存することでそれをカットしません。ララヴェルがフードの下で提供するものを利用する必要があります。

組み込みのCSRF保護を使用します

Laravelが自動的に行う最も重要なことの1つは、CSRF保護を処理することです。 Bladeの@csrfディレクティブを使用してフォームを作成するたびに、Laravelは、悪意のあるサードパーティページからではなく、サイトからのリクエストを検証するトークンを使用して非表示の入力フィールドを追加します。

• すべての投稿/put/patch/deleteフォームに@csrf含まれていることを確認してください
• 非常に具體的な理由がない限り（パブリックAPIのように - それでも、代わりにAPIトークンを使用してください）がない限り、CSRF保護を無効にしないでください）

カスタムフォームを作成したり、JavaScriptベースの提出物を使用したりするときにこれを忘れるのは簡単ですので、生産にプッシュする前にコードを再確認してください。

データベースクエリに雄弁さを活用します

RAW SQLクエリを使用すると、注意しないとSQLインジェクション攻撃へのドアが開きます。 Laravelの雄弁なORMとクエリビルダーは、舞臺裏でパラメーターバインディングを使用するため、デフォルトでそれを防ぐのに役立ちます。

例えば：

 //クエリビルダーを使用したセーフクエリ
ユーザー:: where（ 'email'、$ request-> input（ 'email'）） - > first（）;

これにより、データベースに送信される前に、ユーザーの入力が適切に逃げられます。絶対に必要な場合を除き、変數(shù)をSQL文字列に直接連結(jié)しないでください。それでも、最初に消毒して検証します。

検証とミドルウェアでユーザー入力を消毒します

検証は、ドアで悪いデータを停止する最も簡単な方法の1つです。 Laravelのフォームリクエストとコントローラー検証ヘルパーは、堅実なツールです。

次のようなルールを使用してください：

• 'email' => 'required|email'
• 'password' => 'required|min:8'

また、入力を保存する前に入力をクリーンアップすることを忘れないでください。たとえば、必要に応じてホワイトスペースをトリミングしたり、HTMLタグを剝がしたりすると、後で予期しない動作を防ぐことができます。

また、検証をTrimStringsやConvertEmptyStringsToNullなどのミドルウェアと組み合わせることもできます。これらは、余分な努力なしであなたのデータを一貫性に保つのに役立ちます。

認証と承認でルートを保護します

ほとんどのアプリには、何らかのアクセス制御が必要です。 Laravelは、ゲートとポリシーを使用して、シンプルだが強力なシステムを提供します。

投稿の所有者のみがそれを編集できるようにしたいとしましょう。

 gate :: define（ 'update-post'、function（$ user、$ post）{
    return $ user-> id === $ post-> user_id;
}）;

次に、コントローラーまたはブレードビューで、次を確認できます。

 if（gate :: assold（ 'update-post'、$ post））{...}

また、 authやcanなどのミドルウェアを使用してルートが保護されていることを確認してください。例えば：

ルート:: put（ '/post/{post}'、[postcontroller :: class、 'update']） - > middleware（ 'can：update-post、post'）;

これにより、ユーザーはURLを推測し、すべきでないアクションを?qū)g行することはできません。

それは基本的にそれです。 Laravelは、箱から出して強力なツールを提供しますが、それでもそれらを正しく使用する必要があります。フォームを安全に保ち、クエリをきれいにし、入力が検証され、ルートがロックダウンされます。

以上がLaravelセキュリティ機能でアプリケーションを保護しますの詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。