Sicherheit

Das Framework ist so konzipiert, dass typische Sicherheitslücken in Web-Anwendungen verhindert werden. Dennoch sind Entwickler immer selbst dafür verantwortlich, dass ihre Projekte sicher sind. Hierzu einige Informationen und Empfehlungen.

• Grundlegend darf Benutzereingaben nicht vertraut werden. Damit sind nicht nur Daten aus HTML-Formularen gemeint, sondern auch URL-Parameter, HTTP-Header und jede sonstige Art von Quelle, die irgendwie beeinflusst werden kann. Der im Framework enthaltene Validator bietet komfortable und flexible Möglichkeiten, Daten vor ihrer weiteren Verwendung zu validieren.
• Alle durch das Framework generierten SQL-Queries (siehe Datenbank) verwenden PDO Prepared Statements, um SQL Injection zu verhindern. Falls eigene SQL-Queries geschrieben werden, die Benutzereingaben enthalten, sollten ebenfalls Prepared Statements verwendet werden.
• Die in den Views verwendete Template Engine Twig verhindert XSS-Angriffe, indem sie alle Ausgaben automatisch escaped. Wenn bewusst rohes HTML ausgegeben werden soll, muss sichergestellt werden, dass dieses keinen Schadcode (zum Beispiel JavaScript) enthält.
• Falls benötigt, ist Schutz gegen CSRF-Angriffe selbst zu implementieren.