Quanto è sicuro CodeIgniter 3.x?

Ricordati che Code Igniter è un framework di sviluppo. Non si sforza di rendere la tua applicazione sicura. Ti dà solo gli strumenti per farlo da solo. Se si guarda la pagina Sicurezza di CI, è chiaro che si aspettano che lo sviluppatore comprenda Application Security e costruisca nella loro applicazione.

Se la sicurezza di WebApp è relativamente nuova per te, vorrei iniziare con OWASP . Potrebbe essere vantaggioso guardare in altri framework come Zend o Cake che credo facciano cose più in anticipo per lo sviluppatore.

Ho usato CI sia in 2.x che in 3.x. Fornisce a IMO un'enorme flessibilità per gli sviluppatori PHP, ma se hai usato solo un Framework che fa certe cose di sicurezza per te, posso capire perché qualcuno potrebbe prendere in considerazione il problema.

Tutti i framework web delle dimensioni di CodeIgniter sono vulnerabili a una vulnerabilità del Web. Sì, in passato CodeIgniter ha riscontrato alcune vulnerabilità. Ma cerca CVE per altri framework e probabilmente scoprirai che hanno la loro parte. Usare la logica di "non usare questo framework perché è stata trovata una vulnerabilità in una vecchia versione" è sciocco e se questo fosse il caso non dovremmo usare Joomla, Drupal, Wordpress, Django, Windows, Linux, iOS, OSx , Android, ecc. Fino a 3.X non c'è exploit noto. Questo non vuol dire che non si possa trovare uno in fondo alla strada. Ma questo non garantisce di non usarlo.

I strongly urge you to stay away from CodeIgniter. I'll give you one reason and this is the only reason you'll need: CodeIgniter has no idea how to do security properly. Or it just isn't a priority for them.

Questo è il tipo di commento che dovresti ignorare. CodeIgniter è un progetto open source con centinaia di contributori. Presumere che non conoscono la sicurezza o che vogliono dare la priorità è una rivendicazione molto inverosimile e infondata.