Hello hello,

Ik heb (denk ik) een goed idee voor een website en ben bezig om de website te bouwen, met normale php zonder een framework.

Mijn vraag is nu of normale php wel zo veilig is? Veel internet bureau's maken gebruik van een framework dus ik ga er vanuit dat dit beter is dan normale handgeschreven php.

Je ziet het niet helemaal correct. Een framework is natuurlijk ook 'normale php' alleen wordt er veel werk uit de handen genomen door het framework. Zo heeft een framework vaak best practices voor bepaalde zaken standaard ingebouwd en zit er meestal ook al een standaard laag van beveiliging in. Een framework kost meestal eventjes wat tijd om aan te leren maar die tijd verdien je dubbel en dik terug als je er een beetje de weg in weet :)

Een goed framework om mee te beginnen vind ik Codeigniter, lekker uitgebreid maar lekker simpel gehouden en 't is erg goed gedocumenteerd.

yii en symfony zijn jongere spelers en zijn daarom van de grond af gebaseerd op nieuwe versies van php; ik bevoorkeur deze beiden boven codeigniter; net zoals dat ik twig bevoorkeur boven smarty.

Frameworks zijn er primair om sneller te ontwikkelen. Soms bieden ze dan ook wel de nodige handvaten om bepaalde constructies t.a.v. bv authenticatie en authorizatie goed op te lossen. Dus ja, het kan de veiligheid van de ontwerpkant ten goede komen.

Maar hoe dan ook, bugs worden door programmeurs geintroduceerd. "Gewoon" met X bugs per 1000 regels. Waarbij X varieerd van 1 tot 10 of meer, afhankelijk van de programmeur en hoe rigoreus er getest wordt. Hergebruik van code kan bijdragen aan het sneller reduceren van het aantal bugs. Dat is een tweede voordeel van frameworks

Aan de andere kant haal je ook een boel code binnen waarvan je de kwaliteit (nog) niet kent, dus er kunnen ook heel veel fouten in zitten.

Kortom: het hangt er van af ;)

Een framework is alleen 'veiliger' als je een slechtere programmeur bent dan de bouwer(s) van het framework :)

@Henry: Nooi bugs, gewoon features.

Nee even serieus. Frameworks zijn erg handig als je van structuur en overzichtelijk werken houdt. Het porgrameren in een framework zal de eerste paar keer tijdrovend en lastig zijn, maar op ten duur is het werken zonder framework net zo vervelend als het programeren zonder uitlijnen.

De meeste frameworks hebben al standaard beveiligingen ingebouwd. Dingen zoals mysql_real_escape_string doen de meeste al zelf.

En als je dan voor framework gekozen hebt ben je er nog niet. Er zijn namelijk een helehoop hele goede frameworks. Welk je het beste vind is erg persoonlijk. Zelf ben ik een gebruiker van het Zend framework.

Origineel gepost door rogier fischer

De meeste frameworks hebben al standaard beveiligingen ingebouwd. Dingen zoals mysql_real_escape_string doen de meeste al zelf.

Frameworks die dit gebruiken komen ook uit het jaar nul. Prepared statements zijn toch wel een must-have tegenwoordig.
Daarnaast word de oude mysql api ook depraceted vanaf php 5.5
Pdo of Mysqli is de way to go.

Frameworks als Zend of Symfony zou ik pas aanrader als je echt met grote projecten gaat werken, Symfony2 heeft bijvoorbeeld een zeer steile leercurve, net als Zend.
Voor iets simpels kan ik CodeIgniter aanraden, als je liever met de nieuwste technieken werkt dan zou ik iets als Laravel kiezen.

Thnx voor alle reacties!

Ik ben geen php expert, al kan ik wel redelijk goed uit de voeten met php/mysql. Dus ik ga het maar proberen met CodeIgniter:)