Tak się zastanawiam, jeżeli w symfony będzie napisany jakiś systemik na wewnętrzne potrzeby firmy, serwer będzie wystawiony na świat to czy taka aplikacja będzie bezpieczna ?

Jeśli aplikacja jest zabezpieczona autoryzacją oraz jest odporna na większość ataków, od XSS i SQLInjection zaczynając i na CSRF kończąc to jakie ma to znaczenie czy aplikacja jest wewnętrzna czy zewnętrzna?
No chyba że wydaje Ci się, że aplikacji wewnętrznych nie zabezpiecza się

Jemu raczej wydaje sie ze, ze za bezpieczenstwo odpowiada symfony a on nie musi juz nic w tym kierunku robic... no ale moge sie mylic co mu sie wydaje

Zastanawiam się czy symfony ma wbudowane wszelkie mechanizmy ochronne przed atakami.

Wiadomo że wewnętrzna czy zewnetrzna aplikacja to się zabezpiecza - no ale jak jest wewnetrzna to raczej atakow za wiele nie bedzie

No takie zastanawianie się jest efektem tego, że ludzie zabierają się za budowanie aplikacji za pomocą frameworków a nie mają podstawowej wiedzy.
Framework jest to zbiór narzędzi do budowy aplikacji. I żaden (mam na myśli ogół, nawet inne języki) framework niczego Ci automatycznie sam nie zabezpieczy ale dostarczy Ci narzędzi żebyś to zrobił. Tak, symfony oraz inne frameworki mają możliwość zabezpieczenia aplikacji.

Kurcze, niedługo ludzie będą programować w symfony lub w ZendFramework a nie w PHP.

No dobrze, chodzi mi tutaj tylko o symfony jako o framework, który pewnie rzeczy w kwestii zabezpieczeń robi za nas np chroni przed SQLInjection a o pewne rzeczy trzeba zadbać samemu - ale jeden framework może dac większe bezpieczeństwo na dzien dobry niż inny

Symfony nie chroni przed SQLInjection tylko Propel/Doctrine. Kwestia użycia tych narzędzi. Wszystkie frameworki w PHP jakie widziałem mają możliwość zastosowania zabezpieczeń przeciwko wszystkim najpopularniejszym (i nie tylko) atakom.

Pisząc o symfony miałem na myśli oczywiście propela

a ja pisząc o symfony mam oczywiscie na mysli gole baby...

Niektore rzeczy nie są oczywiste. Przypomina mi sie niedawny przypadek na forum, jak koles napisal aplikacje w jakims frameworku i byl wielce zdziwiony ze byla ona podatna na ataki XSS. DLa niego oczywistym bylo ze skoro uzywa tego frameworka to aplikacja juz powinna byc ok. Nie przyszlo mu do glowy, ze musi uzyc narzedzi dostepnych przez ten framework by zapobiedz XSS

To nie jest oczywiste. Poza tym co stoi na przeszkodzie napisać akcję w której "ręcznie" połączysz się do bazy i wykonasz zapytanie bezpośrednio za pomocą natywnych funkcji PHP? Też się da.
Frameworki są dla ludzi, którzy wiedzą jak wykorzystać narzędzia. Tak samo jak ABS w samochodzie. Nie wystarczy mieć. Trzeba wiedzieć jak używać i kiedy działa najlepiej.

Ale Wy jestescie niemili - przeciez jak napisał, że symfony chroni przed sqlinjection to wiadomo, że chodziło mu o propela czy doctrine. Propel i Doctrine w symfony odpowiadają za rzeczy związane z bazą danych więc wiadomo, że o to mu chodziło. Po co tyle agresji z Waszej strony ?


A propo ataków XSS i CSRF to w settings.yml można ustawić:
csrf_secret: UniqueSecret
escaping_strategy: true

Nie wiem w jakim to stopniu chroni przed tymi atakami więc byłbym wdzięczny za napisanie.

W przypadku formularzy i ataków XSS to jak rozumiem symfony robi tutaj za nas wszystko, bo ma własne formularze więc i pewnie wbudowane w nie zabezpieczenia przed atakami XSS.
Nie wiem jak sprawa wygląda w przypadku adresów URL, które zmodyfikowane mogą być przyczyną ataków XSS oraz CSRF.

W ogóle napiszcie coś więcej. Gdzie trzeba samemu w symfony troszczyć się o bezpieczeństwo a gdzie symfony wykona za nas tę robotę?