3 1.2.安全威胁 1.2.安全威胁 n SANS年发布的全球20大安全风险排行榜上，Web应 用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL 注入及跨站脚本 n 根据国家计算机网络应急技术处理协调中心(简称 CNCERT/CC)上半年的工作报告显示，网站漏洞百出， 被篡改的大陆网站数量明显上升，总数达到28367个， 比去年全年增加近16% 1.3. 相关政策、法规（1） IDS, OS加固) 无法检测并阻止应用层攻击 网络层 应用层 在应用层，我们的安全边界存在巨大 的漏洞！！！ 提纲 一、背景概述 二、典型攻击 三、攻防原理 四、防护产品体系 3.1. SQL注入 16 概述 n SQL Injection q 攻击者利用WEB应用程序对用户输入验证上的疏忽， 在输入的数据中包含对某些数据库系统有特殊意义 的符号或命令，让攻击者有机会直接对后台数据库 默认允许很多系统函数（如xp_cmdshell, OPENROWSET 等） 20 原理 n SQL注入步骤 q 找出数据入口； q 注入数据； q 检测响应中的异常； n SQL注入工具 q SQL漏洞扫描器：SQLIer 、SQLMap 、SQLID 、SQL Power Injecto 、SQLNinja q ASP、JSP注入：NBSI3.0、啊d注入工具、小明王注入工具等

Laravel 现在可以通过使用模型工厂附带一种简单的方式类创建 Eloquent 模型存根，模型工 厂允许你为 Eloquent 模型定义一系列默认属性，然后为测试或数据库填充生成模型实例。 模型工厂还可以利用强大的 PHP 扩展库 Faker 类生成随机的属性数据。 $factory->define('App\User', function ($faker) { return [ 分支，包括下个发行版本。 如果你不确定是重要特性还是次要特性，请在#laravel-devIRC 频道问一下 Taylor Otwell 安全漏洞 如果你在 Laravel 中发现安全漏洞，请发送邮件到 taylor@laravel.com，所有的安全漏洞将会 被及时解决。 编码风格 Laravel 遵循 PSR-2 编码标准和 PSR-4 自动载入标准。 学院（LaravelAcademy.org）提供 23 5、防止 CSRF 攻击 5.1 简介 Laravel 使得防止应用遭到跨站请求伪造攻击变得简单。跨站请求伪造是一种通过伪装授权 用户的请求来利用授信网站的恶意漏洞。 Laravel 自动为每一个被应用管理的有效用户 Session 生成一个 CSRF“令牌”，该令牌用于 验证授权用户和发起请求者是否是同一个人。想要生成包含 CSRF 令牌的隐藏输入字段，

如果你不确定是重要特性还是次要特性，请在 Slack 小组 LaraChat 的#internals 频道咨询 Taylor Otwell 4、安全漏洞 如果你在 Laravel 中发现安全漏洞，请发送邮件到 taylor@laravel.com，所有的安全漏洞将会被 及时解决。 5、编码风格 Laravel 遵循 PSR-2 编码标准和 PSR-4 自动载入标准。 PHPDoc 下面是一个有效的 件 实 例 ， 则 需 要 使 用 容 器 的 singleton 方法将该中间件注册到容器中。 5.3 CSRF 保护 1、简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得防止应用 遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，该令牌用于验证授权用 户和发起请求者是否是同一个人。 './resources/assets/js/app.js', './public/dist' ); }); 如果你想要使用 Webpack 的更多功能，可以利用应用根目录下的 webpack.config.js 文件，Elixir 将会读取该文件并将其中的配置用于构建过程。 Rollup 和 Webpack 相似，Rollup 是为 ES2015

分支，包括下个发行版本。 如果你不确定是重要特性还是次要特性，请在 #laravel-dev IRC 频道问一下 Taylor Otwell 4、安全漏洞 如果你在 Laravel 中发现安全漏洞，请发送邮件到 taylor@laravel.com，所有的安全漏洞将 会被及时解决。 5、编码风格 Laravel 遵循 PSR-2 编码标准和 PSR-4 自动载入标准。 DocBlocks 下面是注释示例： // 匹配 accounts/{account_id}/detail URL }); }); 5、CSRF 攻击 简介 跨站请求伪造是一种通过伪装授权用户的请求来利用授信网站的恶意漏洞。Laravel 使得 防止应用遭到跨站请求伪造攻击变得简单。 Laravel 自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，该令牌用于验 证授权用户和发起请求者是否是同一个人。想要生成包含

Review）。不怀好意的人可能会借此注入恶意代码到 Laravel 中，为了避免这种情况发生，仓库里所有编译后的文件只能由 Laravel 框架维护者生成和提交。 安全漏洞 如果你在 Laravel 中发现安全漏洞，请发送邮件 到 taylor@laravel.com，所有的安全漏洞将会被及时解决。 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun.com 28 。 相关推荐：关于中间件底层原理可以看下 Laravel 中间件 底层源码剖析这篇教程。 CSRF 保护 简介 跨站请求伪造（CSRF）是一种通过伪装授权用户的请求来攻击授信 网站的恶意漏洞。 Laravel 通过自带的 CSRF 保护中间件让避免应用遭到跨站请求伪 造攻击变得简单：Laravel 会自动为每一个被应用管理的有效用户会 本文档由学院君提供 学院君致力于提供优质 Laravel posts... } 授权资源控制器 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun.com 514 如果你在使用资源控制器，可以利用控制器构造函数中 的 authorizeResource 方法，该方法会添加相应的 can 中间件定义 到资源控制器方法。 authorizeResource 方法接收模型类名作为第一个参数，以及包含

和前端资源文件（图片、JavaScript、CSS 等），该目录也是 Apache 或 Nginx 等 Web 服务器所指向 的应用根目录，这样做的好处是隔离了应用核心文件直接暴露于 Web 根目录之下，如果权限系统没做好或服务器配置有漏洞的话，很可能导致应用 敏感文件被黑客窃取，进而对网站安全造成威胁； Resources 目录 resources 目录包含了应用视图文件和未编译的原生前端资源文件（LESS、SASS、JavaScript），以及本地化语言文件； 方法以单例的方式将该中间件注册到容器中。关于服务容器我们就会在后面讲到，暂时不深 入展开了。 CSRF 保护 简介 跨站请求伪造（CSRF）是一种通过伪装授权用户的请求来攻击授信网站的恶意漏洞。 Laravel 通过自带的 CSRF 保护中间件让避免应用遭到跨站请求伪造攻击变得简单：Laravel 会自动为每一个被应用管理的有效用户会话生成一个 CSRF “令牌”，然后将该令牌存放在 ->addTextHeader('Custom-Header', 'HeaderValue'); }); } Markdown 邮件类 Markdown 邮件消息允许你在可邮寄类中利用预置模板和邮件通知组件。因为这些消息以 Markdown 格式编写，Laravel 还可以为它们渲染出高颜 值、响应式的 HTML 模板，同时自动生成纯文本的副本。 生成 Markdown 邮件类

//查询数据缓存时间，表数据有变动会自动更新缓存。设置 为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每 3600s失效一次,这样可以让缓存空间更合理的利用. //如果不想启用缓存直接配置为false 'cache_expire' => 3600, ], // 缓存服务器的配置 'default_cache' //查询数据缓存时间，表数据有变动会自动更新缓存。设置 为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每 3600s失效一次,这样可以让缓存空间更合理的利用. //如果不想启用缓存直接配置为false 'cache_expire' => 3600, //是否记录执行慢的sql语句。只针对mysql有效。这个不能 //查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表 示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每30s失效一 次,这样可以让缓存空间更合理的利用. //如果不想启用缓存直接配置为false 'cache_expire' => 30,//查询数据缓存时间 ], 'game_db' => [ 'driver' =>

//查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每3600s失效一次,这样可以让缓存空间更合理的 利用. //如果不想启用缓存直接配置为false 'cache_expire' => 3600, ], // 缓存服务器的配置 'default_cache' //查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每3600s失效一次,这样可以让缓存空间更合理的 利用. //如果不想启用缓存直接配置为false 'cache_expire' => 3600, //是否记录执行慢的sql语句。只针对mysql有 //查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每30s失效一次,这样可以让缓存空间更合理的利用. //如果不想启用缓存直接配置为false 'cache_expire' => 30,//查询数据缓存时间 ], 'game_db' => [ 'driver' =>

//查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每3600s失效一次,这样可以让缓存空间更合理的 利用. //如果不想启用缓存直接配置为false 'cache_expire' => 3600, ], // 缓存服务器的配置 'default_cache' //查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每3600s失效一次,这样可以让缓存空间更合理的 利用. //如果不想启用缓存直接配置为false 'cache_expire' => 3600, //是否记录执行慢的sql语句。只针对mysql有效。 //查询数据缓存时间，表数据有变动会自动更新缓存。设置为0表示表数据没变动时缓存不过期。 //这边设置为3600意思是即使表数据没变动也让缓存每30s失效一次,这样可以让缓存空间更合理的利用. //如果不想启用缓存直接配置为false 'cache_expire' => 30,//查询数据缓存时间 ], 'game_db' => [ 'driver' => 'MySql

布局中， 但 是实际上标题大多由内容视图而不是布局来决定，为解决这个问题， 譹 譩 譩 譜 護 譥 譢 譜 譖 譩 譥 護 提供 譴 譩 譴 譬 譥 标题属性可让标题信息从内容视图传递到布局中。 为利用这个特性，在每个内容视图中设置页面标题，如下所示： < ? p h p $ t h i s - > t i t l e = ' M y p a g e t i t l e ' ; ? > 然后在视图中，确保在 如果请求中没有检测到内容格式和语言， 使用 警 譯 譲 譭 譡 譴 譳 和 譬 譡 譮 譧 譵 譡 譧 譥 譳 第一个配置项。 譈 譴 譴 議 譃 譡 譣 譨 譥 轈 轴 轴 轰 轃 轡 轣 轨 轥 利用 L a s t - M o d i f i e d 和 E t a g 轈 轔 轔 轐 头实现客户端缓存。 例如： u s e y i i \ f i l t e r s \ H t t p C 许多数据库支持数据库复制1 6 来获得更好的数据库可用性， 以及更快的服 务器响应时间。通过数据库复制功能， 数据从所谓的主服务器被复制到从 服务器。所有的写和更新必须发生在主服务器上， 而读可以发生在从服务 器上。 为了利用数据库复制并且完成读写分离， 你可以按照下面的方法来配置 譹 譩 譩 譜 譤 譢 譜 譃 譯 譮 譮 譥 譣 譴 譩 譯 譮 组件： [ ' c l a s s ' = > ' y i i \ d