सुरक्षा
चल रहा उपयोगकर्ता
सुझाव दिया जाता है कि उपयोगकर्ता को न्यूनतम अनुमति वाले उपयोगकर्ता के रूप में सेट किया जाए, जैसे एनजीनक्स उपयोगकर्ता। उपयोगकर्ता को config/server.php में user और group में सेट करें।
इसी प्रकार कस्टम प्रक्रियाओं के उपयोगकर्ता को config/process.php में user और group से स्पष्ट किया जाता है।
ध्यान देने योग्य है कि मॉनिटर प्रक्रिया को उपयोगकर्ता के रूप में सेट न किया जाए, क्योंकि इसे सही रूप से काम करने के लिए उच्च अनुमति की आवश्यकता होती है।
नियंत्रक नियम
controller निर्देशिका या उसकी उप-निर्देशिकाओं में केवल नियंत्रक फ़ाइलें रखी जा सकती हैं, अन्य कक्षा फ़ाइलों को रखना वर्जित है। अन्यथा नियंत्रक प्रत्यय चालू न होने पर URL के माध्यम से कक्षा फ़ाइलों तक अवैध रूप से पहुंच हो सकती है, जिससे अप्रत्याशित परिणाम हो सकते हैं।
उदाहरण के लिए, app/controller/model/User.php वास्तव में एक Model कक्षा है, लेकिन गलती से इसे controller निर्देशिका में रख दिया गया है। नियंत्रक प्रत्यय चालू न होने पर उपयोगकर्ता /model/user/xxx जैसे URL के माध्यम से User.php में किसी भी मेथड तक पहुंच सकते हैं।
इस स्थिति को पूरी तरह से रोकने के लिए, नियंत्रक प्रत्यय का उपयोग करके कौन सी फ़ाइलें नियंत्रक फ़ाइलें हैं इसे स्पष्ट रूप से चिह्नित करने की दृढ़तापूर्वक सिफारिश की जाती है।
XSS फ़िल्टर
सामान्यत: webman द्वारा अनुरोधों को XSS escaping नहीं किया जाता है।
webman रेंडरिंग के समय XSS escaping करने की दृढ़तापूर्वक सिफारिश करता है, न कि डेटाबेस में डालने से पहले।
और ट्विग, ब्लेड, think-template आदि टेम्पलेट अपने आप में XSS escaping करते हैं, हाथ से नहीं, बहुत सुविधाजनक।
सुझाव
अगर आप संग्रहण पहले XSS escaping करते हैं, तो बहुत संभावना है कि आपको अनुप्रयोग प्लगइन के साथ समस्याएँ हो सकती हैं।
SQL इंजेक्शन से बचाव
SQL इंजेक्शन से बचाव के लिए, कृपया जहाँ तक संभव हो ORM का उपयोग करें, जैसे illuminate/database, think-orm। उपयोग करते समय अपने आप SQL बनाने से बचें।
एनजीनक्स प्रॉक्सी
जब आपके एप्लिकेशन को बाहरी इंटरनेट उपयोगकर्ताओं के लिए उजागर करने की आवश्यकता होती है, तो webman के सामने एक nginx प्रॉक्सी जोड़ने की दृढ़तापूर्वक सिफारिश की जाती है। इससे कुछ अवैध HTTP अनुरोधों को फ़िल्टर किया जा सकता है और सुरक्षा बढ़ती है। विवरण के लिए कृपया nginx प्रॉक्सी देखें।