безопасность ролей

[nepster]

Код: Выделить всё

    public function filters()
    {
        return array(
            'accessControl',
        );
    }
    
    public function accessRules()
    {
        return array(

            array('allow',
                'actions'=>array(),
                'roles'=>array('administrator')
            ),

            array('deny'),

        );
    } 

подскажите пожалуйста, как вообще это дело с точки зрения безопасности ?
тоесть всем запретить контролеры, а группе администраторов разрешить. (действия в админ панеле)

[lancecoder]

с точки безопасности нужно как то так:

Код: Выделить всё

public function accessRules()
    {
        return array(
            array('deny'),
        );
    } 
 

[nepster]

а как же тогда администратор увидит экшены ?

[lancecoder]

да все у вас норм, вы же тока админам разрешаете, не обращайте внимание на мой сарказм ^_^

[nepster]

а я понял, я просто новичок в YII и еще только на начальных стадиях изучения.
По php знаю, очень много уязвимостей и обхода авторизации. И на защиту уходит достаточно много времени и кода, а тут 2 метода по 5 строк, подозрительно =)

[Nafania]

а я понял, я просто новичок в YII и еще только на начальных стадиях изучения.
По php знаю, очень много уязвимостей и обхода авторизации. И на защиту уходит достаточно много времени и кода, а тут 2 метода по 5 строк, подозрительно =)

Уязвимостей в самом php особо нет, они есть в коде, который написан на php
Не забываете про фильтрацию входящих данных, валидацию, csrf и все будет в норме.

[nepster]

csrf уже есть, все хорошо.

Сейчас делаю макет тоесть на прямую библиотек для работы с данными еще не писал.
Дизайн, контролеры, модели (выборка с базы). А вот манипуляция с данными еще впереди.

Да согласен Уязвимостей в самом php особо нет, но есть очень много тонкостей, где можно упустить 1 момент и все попадос.
А с нынешними сниферами сайта по поиску дырок, взлом 90% сайта рунета, это вопрос 20 часов.