CakePHP - Segurança

A segurança é outro recurso importante durante a construção de aplicativos da web. Ele garante aos usuários do site que seus dados estão protegidos. O CakePHP fornece algumas ferramentas para proteger seu aplicativo.

Criptografia e descriptografia

A biblioteca de segurança do CakePHP fornece métodos pelos quais podemos criptografar e descriptografar dados. A seguir estão os dois métodos, que são usados ​​para o mesmo propósito.

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

O método de criptografia terá texto e chave como argumento para criptografar dados e o valor de retorno será o valor criptografado com soma de verificação HMAC.

Para hash de dados, hash()método é usado. A seguir está a sintaxe do método hash ().

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF significa Cross Site Request Forgery. Ao habilitar o componente CSRF, você obtém proteção contra ataques. CSRF é uma vulnerabilidade comum em aplicativos da web.

Ele permite que um invasor capture e reproduza uma solicitação anterior e, às vezes, envie solicitações de dados usando marcas de imagem ou recursos em outros domínios. O CSRF pode ser habilitado simplesmente adicionando oCsrfComponent à sua matriz de componentes, conforme mostrado abaixo -

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

O CsrfComponent se integra perfeitamente com FormHelper. Cada vez que você cria um formulário com FormHelper, ele insere um campo oculto contendo o token CSRF.

Embora isso não seja recomendado, você pode desabilitar o CsrfComponent em certas solicitações. Você pode fazer isso usando o despachante de eventos do controlador, durante obeforeFilter() método.

public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

Componente de Segurança

O componente de segurança aplica uma segurança mais rígida ao seu aplicativo. Ele fornece métodos para várias tarefas como -

  • Restricting which HTTP methods your application accepts- Você deve sempre verificar o método HTTP, sendo usado antes de executar efeitos colaterais. Você deve verificar o método HTTP ou usarCake\Network\Request::allowMethod() para garantir que o método HTTP correto seja usado.

  • Form tampering protection- Por padrão, o SecurityComponent impede que os usuários adulterem formulários de maneiras específicas. O SecurityComponent impedirá o seguinte -

    • Campos desconhecidos não podem ser adicionados ao formulário.

    • Os campos não podem ser removidos do formulário.

    • Os valores nas entradas ocultas não podem ser modificados.

  • Requiring that SSL be used - Todas as ações que exigem um SSL protegido

  • Limiting cross controller communication- Podemos restringir qual controlador pode enviar solicitação a este controlador. Também podemos restringir quais ações podem enviar solicitação para a ação deste controlador.

Exemplo

Faça alterações no config/routes.php arquivo conforme mostrado no programa a seguir.

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

Criar uma LoginsController.php arquivo em src/Controller/LoginsController.php. Copie o seguinte código no arquivo do controlador.

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

Crie um diretório Logins em src/Template e sob esse diretório crie um Viewarquivo chamado index.php. Copie o código a seguir nesse arquivo.

src/Template/Logins/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

Execute o exemplo acima visitando a seguinte URL - http: // localhost / cakephp4 / login

Resultado

Após a execução, você receberá a seguinte saída.

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved