存儲密碼 ? Laravel提供了一個名為“Hash”類來提供安全Bcrypt散列。密碼可以通過以下方式散列。
$password = Hash::make('secret');
make() 函數(shù)將使用一個值作為參數(shù),將返回其哈希值。散列值可以用check()函數(shù)進行檢查如下所示。
Hash::check('secret', $hashedPassword)
認證用戶-在Laravel其他主要安全功能是驗證用戶和執(zhí)行某些操作。Laravel使得此任務更容易,要做到這一點可以通過使用Auth::attempt()方法。
if (Auth::attempt(array('email' => $email, 'password' => $password))) { return Redirect::intended('home'); }
CSRF保護/跨站請求偽造 (XSS) ? 攻擊者把客戶端的JavaScript代碼放頁面在其他用戶查看的頁面時,跨站點腳本(XSS)攻擊發(fā)生。 為了避免這種攻擊,千萬不要相信任何用戶提交的數(shù)據(jù)并轉義任何危險的字符。在Blade模板應該使用雙括號語法({{$value}}),
避免SQL注入- SQL注入漏洞當應用程序插入任意和未經(jīng)過濾的用戶輸入的SQL查詢時存在的。默認情況下,Laravel會保護免受這種類型的攻擊,因為在后臺查詢生成器使用PHP數(shù)據(jù)對象(PDO)類。 PDO使用prepared語句,它允許您安全地傳遞任何參數(shù),而無需轉義它們。
Cookies - 默認情況下安全 ? Laravel使用Cookie類使得它很容易創(chuàng)建,讀取和過期的cookies。在Laravel所有的Cookie是自動簽名和加密。這意味著,如果它們被篡改,Laravel將自動丟棄它們。這也表示你將不能夠從客戶端使用 JavaScript 讀取。
交換敏感數(shù)據(jù)時強制HTTPS ? HTTPS防止在同一網(wǎng)絡上攔截私人信息,如會話變量,并使用受害者這些信息來登錄。