Laravel menyediakan ciri -ciri keselamatan yang mantap untuk melindungi aplikasi daripada kelemahan web biasa. Gunakan perlindungan CSRF terbina dalam dengan memasukkan @CSRF dalam semua borang pos/put/patch/padam dan elakkan daripada melumpuhkannya melainkan perlu, menggunakan token API sebaliknya. 1. Leverage Orm fasih atau pembina pertanyaan untuk pertanyaan pangkalan data untuk mencegah suntikan SQL melalui mengikat parameter. 2. Sanitize input pengguna menggunakan peraturan pengesahan seperti 'e -mel' => 'diperlukan | e -mel' dan middleware seperti trimstrings dan convertemptystringstonull untuk data yang konsisten. 3. Laluan selamat dengan sistem pengesahan dan kebenaran Laravel menggunakan pintu dan dasar, memastikan hanya pengguna yang diberi kuasa dapat melakukan tindakan tertentu, dan memohon middleware seperti auth atau CAN untuk menyekat akses dengan berkesan.

Laravel datang dengan satu ton ciri keselamatan terbina dalam yang membantu melindungi aplikasi anda daripada kelemahan web biasa. Jika anda membina sesuatu yang serius, bergantung semata -mata pada persediaan asas tidak akan memotongnya - anda perlu menggunakan apa yang ditawarkan Laravel di bawah tudung.

Gunakan perlindungan CSRF terbina dalam

Salah satu perkara yang paling penting Laravel secara automatik adalah mengendalikan perlindungan CSRF. Setiap kali anda membuat borang menggunakan arahan Blade @csrf , Laravel menambah medan input tersembunyi dengan token yang mengesahkan permintaan itu datang dari laman web anda dan bukan dari halaman pihak ketiga yang berniat jahat.

• Pastikan setiap borang pos/meletakkan/patch/padam termasuk @csrf
• Jangan melumpuhkan perlindungan CSRF melainkan jika anda mempunyai alasan yang sangat spesifik (seperti API awam - tetapi kemudian, gunakan token API sebaliknya)

Sangat mudah untuk melupakan ini apabila menulis borang tersuai atau bekerja dengan penyerahan berasaskan JavaScript, jadi semak semula kod anda sebelum menolak ke pengeluaran.

Leverage fasih untuk pertanyaan pangkalan data

Menggunakan pertanyaan SQL mentah membuka pintu kepada serangan suntikan SQL jika anda tidak berhati -hati. Orm dan pembina pertanyaan Laravel membantu menghalangnya secara lalai kerana mereka menggunakan parameter yang mengikat di belakang tabir.

Contohnya:

 // pertanyaan selamat menggunakan pembina pertanyaan
Pengguna :: di mana ('e-mel', $ permintaan-> input ('e-mel'))-> pertama ();

Dengan cara ini, mana -mana input pengguna akan dilepaskan dengan betul sebelum dihantar ke pangkalan data. Elakkan pembolehubah menggabungkan terus ke dalam rentetan SQL melainkan jika anda benar -benar perlu - dan walaupun itu, sentiasa membersihkan dan mengesahkan terlebih dahulu.

Membersihkan Input Pengguna dengan Pengesahan dan Middleware

Pengesahan adalah salah satu cara paling mudah untuk menghentikan data buruk di pintu. Permintaan borang Laravel dan pembantu pengesahan pengawal adalah alat yang kukuh.

Gunakan peraturan seperti:

• 'email' => 'required|email'
• 'password' => 'required|min:8'

Juga, jangan lupa untuk membersihkan input sebelum menyimpannya. Sebagai contoh, pemangkasan ruang putih atau pelucutan tag HTML di mana sesuai boleh menghalang tingkah laku yang tidak dijangka kemudian.

Anda juga boleh menggabungkan pengesahan dengan middleware seperti TrimStrings dan ConvertEmptyStringsToNull , yang datang didayakan secara lalai di Laravel. Ini membantu menjaga data anda konsisten tanpa usaha tambahan.

Selamatkan laluan anda dengan pengesahan dan kebenaran

Kebanyakan aplikasi memerlukan beberapa jenis kawalan akses. Laravel menyediakan sistem yang mudah tetapi berkuasa menggunakan pintu dan dasar.

Katakan anda hanya mahu pemilik jawatan dapat mengeditnya:

 GATE :: Define ('Update-Post', Function ($ user, $ post) {
    kembali $ user-> id === $ post-> user_id;
});

Kemudian dalam pandangan pengawal atau bilah anda, anda boleh menyemak:

 jika (pintu :: membenarkan ('kemas kini', $ pos)) {...}

Juga, pastikan laluan anda dilindungi menggunakan middleware seperti auth atau can . Contohnya:

 Route :: Put ('/posts/{post}', [PostController :: Class, 'Update'])-> Middleware ('Can: Update-Post, Post');

Ini memastikan pengguna tidak dapat meneka URL dan melakukan tindakan yang tidak seharusnya.

Itu pada dasarnya. Laravel memberi anda alat yang kuat dari kotak - tetapi anda masih perlu menggunakannya dengan betul. Pastikan borang anda selamat, pertanyaan anda bersih, input anda disahkan, dan laluan anda dikunci.

Atas ialah kandungan terperinci Melindungi Aplikasi Anda Dengan Ciri Keselamatan Laravel. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!