To secure a Laravel application, you must keep Laravel and dependencies updated using composer update, use strong authentication and authorization with Laravel's built-in tools and enforce middleware policies, protect against XSS, CSRF, and SQL injection by following best practices like input escaping and parameter binding, and secure your environment by managing .env files properly, setting APP_DEBUG=false in production, and avoiding storing secrets in 代碼。

在確保Laravel應(yīng)用程序時，您不應(yīng)該跳過幾種基本實踐。儘管Laravel本身是考慮到安全性的，但開發(fā)人員仍然需要遵循最佳實踐，以防止常見威脅，例如SQL注入，跨站點腳本（XSS）和未經(jīng)授權(quán)的訪問。

保持Laravel和依賴關(guān)係更新

最簡單但最被忽視的事情之一就是保持您的Laravel版本和所有包裝最新。 Laravel定期發(fā)布包括關(guān)鍵安全補丁的更新。

• 定期使用composer update來吸引最新的穩(wěn)定版本。
• 請注意Laravel的官方更改和安全諮詢。
• Sentry或Laravel望遠鏡等工具可以幫助監(jiān)視部署後的問題。

過時的依賴性是PHP應(yīng)用程序中最常見的漏洞來源之一。這不僅與Laravel Core有關(guān)，還應(yīng)維護和安全。

使用強大的身份驗證和授權(quán)

Laravel提供了可以開箱即用的身份驗證的可靠工具，但是您如何實施和執(zhí)行政策很重要。

• 始終使用Laravel的內(nèi)置身份驗證腳手架（ php artisan make:auth ）或Laravel微風(fēng)/聖經(jīng)。
• 使用驗證或諸如password之類的軟件包執(zhí)行密碼複雜性規(guī)則。
• 確保使用中間件和政策正確執(zhí)行角色和權(quán)限。

例如，如果您有管理路線，請不要僅僅從非ADMIN用戶隱藏鏈接，而是在中間軟件級別阻止訪問。這樣可以防止某人直接直接鍵入URL。

另外，考慮使用Laravel Fotify或Jetstream啟用兩因素身份驗證（2FA）。

防止常見的網(wǎng)絡(luò)漏洞

即使採用Laravel的保護，一些安全風(fēng)險也需要額外關(guān)注：

• XSS（跨站點腳本） - Laravel的刀片引擎會使用雙捲髮括號自動逃脫變量{!! $var !!} 。但是，除非絕對必要，否則避免使用三重括號，因為它們繞過逃脫。
• CSRF（跨站點請求偽造） - Laravel默認情況下通過中間件包含CSRF保護。只需確保每個帖子/put/delete表單都包含@csrf即可。
• SQL注入- 堅持雄辯或查詢構(gòu)建器，而不是編寫RAW SQL查詢。如果您必須使用原始表達式，請始終使用參數(shù)綁定。

一個經(jīng)典錯誤是將用戶輸入串聯(lián)到查詢字符串中，例如：

 db :: select（“從用戶中select * where id =”。$ _get ['id']）;

這為攻擊者打開了攻擊惡意SQL的大門。相反，綁定參數(shù)：

 db :: select（“從用戶select * where id =？”，[$ _get ['id']]）;

保護您的環(huán)境和配置

設(shè)置環(huán)境和管理配置文件的方式在應(yīng)用程序安全中起著重要作用。

• 切勿將.env文件提交為版本控制。將它們添加到.gitignore 。
• 在本地，分期和生產(chǎn)中使用不同的環(huán)境文件 - 尤其是對於數(shù)據(jù)庫憑據(jù)和API密鑰。
• 在生產(chǎn)中設(shè)置APP_DEBUG=false 。在公開內(nèi)部路徑和系統(tǒng)信息上留下調(diào)試模式。

另外，請確保您的Web服務(wù)器不提供諸如.env ， .git或.env.backup之類的敏感文件。正確配置您的Web根部 - 理想情況下僅指向public/目錄。

另一件事：切勿將秘密直接存儲在代碼中。使用環(huán)境變量並考慮定期旋轉(zhuǎn)它們。

基本上就是這樣。這些步驟並不過於復(fù)雜，但是它們涵蓋了Laravel應(yīng)用程序暴露的大多數(shù)主要領(lǐng)域。與這些實踐保持一致，並且您將避免很多麻煩。

以上是保護Laravel申請的基本安全實踐的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！