सुरक्षा

उपयोगकर्ता क्रम

सुझाव दिया जाता है कि उपयोगकर्ता को न्यूनतम अनुमति वाले उपयोगकर्ता के रूप में सेट किया जाए, जैसे एनजीनक्स उपयोगकर्ता। उपयोगकर्ता को config/server.php में user और group में सेट करें।
सामान्य प्रक्रियाओं के उपयोगकर्ता को config/process.php में user और group से स्पष्ट किया जाता है।
ध्यान देने योग्य है कि मॉनिटर प्रक्रिया को उपयोगकर्ता के रूप में सेट न किया जाए, क्योंकि इसे सही रूप से काम करने के लिए उच्च अनुमति की आवश्यकता होती है।

नियंत्रक सूचना

controller नियंत्रक फ़ाइलों को सिर्फ नियंत्रक फ़ाइलों को ही रखा जा सकता है, न की किसी अन्य प्रकार की कक्षा फ़ाइलों। अगर नियंत्रक सूचक को अक्षम न किया गया हो तो, उस समय URL अवैध पहुंच के कारण कक्षा फ़ाइलों को पहुंचा जा सकता है, जिससे अप्रत्याशित परिणाम हो सकते हैं।
उदाहरण के रूप में, app/controller/model/User.php वास्तविक मॉडल कक्षा है, लेकिन इसे गलत रूप से controller नियंत्रक के डायरेक्ट्री में रख दिया गया है, नियंत्रक सूचक को अक्षम किया हुआ है, तो /model/user/xxx जैसे URL के जरिए उपयोगकर्ता किसी भी तरह के उपाय को देख सकता है।
इस प्रकार की स्थिति को पूरी तरह से हटाने के लिए, नियंत्रक सूचक का प्रयोग करने की मजबूरी है जिससे स्पष्ट रूप से जानकारी दी जा सके कि कौन से फ़ाइल नियंत्रक फ़ाइल हैं।

XSS फ़िल्टर

सामान्यत: webman द्वारा अनुरोधों को XSS escaping नहीं किया जाता है।
webman भावी में प्रदर्शन के समय XSS escaping करने की मजबूरी को सार्थकता देता है, और संग्रहण पहले escaping करने की बजाय नहीं।
और ट्‌विग, ब्लेड, थिंक-टीएमप्लेट आदि टेम्पलेट अपने आप में XSS escaping करते हैं, हाथ से नहीं, बहुत सुविधाजनक।

सुझाव
अगर आप संग्रहण पहले XSS escaping करते हैं, तो बहुत संभावना है कि आपको अनुप्रयोगिता प्लगइन के साथ समस्याएँ हो सकती हैं।

SQL संग्रहण से बचाव

SQL संग्रहण से बचाव के लिए, कृपया एक ORM का प्रयोग करें, जैसे illuminate/database, think-orm, और कोशिश करें कि खुद ही SQL न बनाएं।

एनजीनक्स प्रॉक्सी

जब आपके एप्लिकेशन को बाह्य इंटरनेट उपयोगकर्ताओं को प्रकट करने की आवश्यकता होती है, तो webman के पहले एक एनजीनक्स प्रॉक्सी जोड़ने की मजबूरी है, ताकि कुछ अवैध HTTP अनुरोधों को अलग किया जा सके और सुरक्षा को बढ़ाया जा सके। विस्तृत जानकारी के लिए कृपया एनजीनक्स प्रॉक्सी देखें।