安全

运行用户

建议将运行用户设置为权限较低的用户,例如与nginx运行用户一致。运行用户在 config/server.php 中的usergroup中设置。 类似的自定义进程的用户是通过config/process.php中的usergroup来指定。 需要注意的是,monitor进程不要设置运行用户,因为它需要高权限才能正常工作。

XSS过滤

考虑通用性,webman没有对请求进行XSS过滤。开发者需要自己决定XSS过滤时机,例如请求处理前进行XSS过滤,或者在模版里统一进行XSS过滤,建议输出时过滤。 统一在请求处理前过滤可参考 请求-自定义请求对象。(不建议更改support/Request.php,因为这可能会影响其它应用插件的行为)

防止SQL注入

为了防止SQL注入,请尽量使用ORM,如 illuminate/databasethink-orm,使用时尽量不要自己组装SQL。

nginx代理

当你的应用需要暴露给外网用户时,强烈建议在webman前增加一个nginx代理,这样可以过滤一些非法HTTP请求,提高安全性。具体请参考nginx代理