[請益] 請問開發網站為了資安可以不要用框架嗎?

看板PHP作者 (蘇大寶)時間10年前 (2014/07/18 14:53), 編輯推噓-9(11039)
留言50則, 19人參與, 最新討論串1/2 (看更多)
如題, 我會PHP, 但又不想學框架(Zend、Symphony、CodeIgniter、Yii), 可以只用 PEAR 嗎? 或是什麼都不用? 直接用PHP的一些函數來避免 SQJ Injection、XSS ? 有沒有相關文件可以參考? 謝謝 ^_^ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 218.161.53.129 ※ 文章網址: http://www.ptt.cc/bbs/PHP/M.1405666435.A.3F9.html
07/18 15:08, , 1F
PEAR不是套件管理嗎 你做網站可以把PEAR做進去?
07/18 15:08, 1F
07/18 15:08, , 2F
有創意!
07/18 15:08, 2F
07/18 15:57, , 3F
我是說只用PEAR的一些套件, 請勿無聊抓語病
07/18 15:57, 3F
07/18 16:09, , 4F
中文先練好再說, 看標題還以為現在的框架都有資安問題
07/18 16:09, 4F
07/18 16:22, , 5F
誰跟你無聊了 講得不清不楚架子倒是很大啊
07/18 16:22, 5F
07/18 17:03, , 6F
國文老師:
07/18 17:03, 6F
07/18 17:22, , 7F
被標題騙進來以為framework都有資安問題
07/18 17:22, 7F
07/18 17:47, , 8F
看來這邊的程度都不太好, 只在乎作文程度, 跟教育部有得拼...
07/18 17:47, 8F
07/18 17:49, , 9F
Zzz 慢走不送
07/18 17:49, 9F
07/18 18:09, , 10F
簡單回答你 可以 大型網站其實會避免用框架
07/18 18:09, 10F
07/18 18:10, , 11F
google很多資料 大多是以函式的方式實作
07/18 18:10, 11F
07/18 18:25, , 12F
干Framework啥事, 資不資安不是fw, 是工程師的能力問題
07/18 18:25, 12F
07/18 19:57, , 13F
表達能力也是工程師必備能力,表達的不清不楚,甚至跟原意
07/18 19:57, 13F
07/18 19:57, , 14F
差很多,請問是要怎麼跟人溝通?
07/18 19:57, 14F
07/18 20:41, , 15F
自己老闆自己工程師就可以不管溝通啦...
07/18 20:41, 15F
07/18 20:42, , 16F
不... 這樣反倒會不清楚消費者要啥XD
07/18 20:42, 16F
07/18 21:15, , 17F
資安涉略地方很廣,不會因為你用 Framework 就沒問題
07/18 21:15, 17F
07/18 21:16, , 18F
所以你想自己設計框架或完全不用框架的設計模式來製作程序
07/18 21:16, 18F
07/18 21:16, , 19F
也是可以 但相對的,你的實戰經驗就必須要很豐富
07/18 21:16, 19F
07/18 21:17, , 20F
一方面你多少都要懂得打站 一方面也要懂得知道要寫單元測試或
07/18 21:17, 20F
07/18 21:18, , 21F
安排測試腳本try你的網站運作,確保你設計的機制是有做動的
07/18 21:18, 21F
07/18 21:19, , 22F
但怎樣判斷程序回來的結果程是是正確的? 我列以下幾點供參考
07/18 21:19, 22F
07/18 21:19, , 23F
1. 多 follow 國內外的資訊安全消息
07/18 21:19, 23F
07/18 21:19, , 24F
2. 多多研究 exploit 的 demo source code 了解攻擊手法
07/18 21:19, 24F
07/18 21:20, , 25F
因為那種東西就像是變魔術一樣,你不知道手法,即使你用框架
07/18 21:20, 25F
07/18 21:20, , 26F
系統也保不了你的網站安全
07/18 21:20, 26F
07/18 21:21, , 27F
3. 要注意一些程式語言的動態或相關資訊新聞
07/18 21:21, 27F
07/18 21:22, , 28F
因為現在的已經不向過往,用一個語言幹全部的事,很多都採用
07/18 21:22, 28F
07/18 21:22, , 29F
有特色的語言 or 框架架構來解一些性能上比較不足的地方
07/18 21:22, 29F
07/18 21:23, , 30F
但是這種異質的架構往往都會帶來一些安全隱憂
07/18 21:23, 30F
07/18 21:24, , 31F
如果不知道這方面的訊息,就像 2. 一樣,有天你的機子也會掛
07/18 21:24, 31F
07/18 21:27, , 32F
4. 可以不用使用框架,但要懂得他的優劣、特點以及設計方式
07/18 21:27, 32F
07/18 21:30, , 33F
5. 伺服器安全/設定需要去關注/研究,善用裡面的模組、設定
07/18 21:30, 33F
07/18 21:30, , 34F
因為很多攻擊或許不是衝著你用的程式,而是看準你不會調校
07/18 21:30, 34F
07/18 21:31, , 35F
試圖進行癱瘓或try 0day想辦法弄到主機權限
07/18 21:31, 35F
07/18 21:32, , 36F
又或者不當的設定下,暴露了一些重要程式的位置 或 可以下載
07/18 21:32, 36F
07/18 21:32, , 37F
特定的檔案資料,所以說,善用主機設定跟調校
07/18 21:32, 37F
07/18 21:33, , 38F
不僅性能上的運作可以壓榨出server的極限外,安全性也能因為
07/18 21:33, 38F
07/18 21:33, , 39F
你的設定得到更高標準的防護 避免資料無端流出
07/18 21:33, 39F
07/18 22:05, , 40F
推alog大。噓原po~架子真大!
07/18 22:05, 40F
07/18 23:16, , 41F
alog大都能回一篇來賺P幣了XD
07/18 23:16, 41F
07/19 08:25, , 42F
推alog佛心來著...
07/19 08:25, 42F
07/19 12:55, , 43F
07/19 12:55, 43F
07/19 19:32, , 44F
誠心建議先學問問題該有的EQ
07/19 19:32, 44F
07/19 23:03, , 45F
以為框架怎麼了+1... 結果只是因為不想學框架...
07/19 23:03, 45F
07/20 06:36, , 46F
謝謝指教 ^_^
07/20 06:36, 46F
07/21 17:35, , 47F
其實只是不想多學,不是真的懂injection跟xss吧 ZZZ
07/21 17:35, 47F
07/23 19:05, , 48F
謝謝指教勒~
07/23 19:05, 48F
07/25 14:51, , 49F
你會PHP到何種程度?可以自己寫框架的程度了嗎?
07/25 14:51, 49F
09/17 19:10, , 50F
強……
09/17 19:10, 50F
更多 afgn 的文章
文章代碼(AID): #1JoCI3Fv (PHP)
更多 afgn 的文章
文章代碼(AID): #1JoCI3Fv (PHP)