使用Zend Framework 2提高Web应用程序的安全性

在开发新 站或Web应用程序时，您不能花费足够的时间来考虑安全性。 攻击者可以多种方式入侵您的Web应用程序，并且您需要严格地在应用程序代码中实现安全性最佳实践，以确保用户免受攻击。

这些组件共同构成了使您的应用程序更不容易受到攻击的第一道防线。 因此，进入，让我们开始吧。

设置基础应用程序

抵御恶意软件：全面解决当今最大的IT风险之一

下载“ 防御恶意软件” 。

在深入研究代码之前，需要注意一些注意事项和假设。

另一种方法是手动下载并将Zend Framework骨架应用程序的内容提取到系统上的目录中。 然后，使用Composer下载必要的依赖项。 Zend Framework文档提供了有关此方法的其他指导； 您可以在“ 相关主题”部分中找到此文档的链接。

现在，您应该在Apache配置中为此应用程序定义一个新的虚拟主机，例如 ，并将该虚拟主机的文档根指向框架应用程序的public /目录。 如果然后浏览到该主机，则应该看到默认的Zend Framework 2.x欢迎页面， 如图1所示。

图1. Zend Framework 2框架应用程序欢迎页面

图2.清单表单

当用户提交列表时，检查提交的数据以确保其有效且不包含恶意代码很重要。 这是Zend Filter和Zend Validate组件进入的位置：

• Zend Filter组件负责扫描输入以转义或删除非法字符串（HTML元素或文件系统路径），并对其进行转换以符合格式要求（去除空格和换行符或更改字符串大小写）。
• Zend Validate组件可确保输入有效并匹配输入请求者的期望。 这可能包括检查电子邮件地址，主机名和URI的格式； 确保字符串具有一定的最小长度； 或验证数字和邮政编码的精度。

可以将各个过滤器和验证器链接在一起以测试特定的输入值，并且只有成功通过链中的所有验证器和过滤器后，该值才被视为有效。

Zend InputFilter组件提供了一种对过滤器和验证器进行分组的方法，从而使一次验证多个输入（例如，通过表单提交的多个输入）更简单。 清单2使用Zend InputFilter创建一个新的ListingFilter对象，该对象包含测试通过ListingForm提交的输入所需的所有过滤器和验证器。

清单2.表单输入验证器和过滤器