Oh, alegría - otro framework PHP. Disculpe mi sarcasmo, pero ya hay una gran cantidad de marcos flotando en la naturaleza. La mayoría está hinchada, lenta y llena de errores de seguridad. Pero al menos está intentando abordar los problemas de seguridad por adelantado.
Diría que es cuestionable si un marco debe proporcionar su propia capa de abstracción de base de datos. p.ej. A veces, el patrón de registro activo es útil, pero no siempre.
Por mucho, el complemento de seguridad más valioso sería la garantía de compatibilidad con versiones anteriores para alentar a su base de usuarios a actualizar cuando lance nuevas versiones.
Según mi comentario en otra parte, la validación no es un problema de seguridad, las representaciones correctas de los datos lo son. Sería bueno proporcionar un mecanismo simple para cambiar entre representaciones para diferentes destinos y desde / hacia formatos neutros de destino (lo que generalmente significa algunos ajustes a la codificación base64).
Sin embargo, la validación
para problemas funcionales no es algo malo, por ejemplo. asegurándose de que la fecha de salida de una reserva sea posterior a la fecha de llegada.
El registro es muy importante.
Merece la pena considerar la posibilidad de considerar la zona de pruebas de E / S de archivos.
Como dice Chris: debe proporcionar prevención contra el secuestro / fijación de sesiones.
Podría considerar proporcionar un marco de autenticación (después de todo, si tiene listas de control de acceso (ACL), ya está imponiendo algunas restricciones sobre cómo se implementa la autenticación).
Si desea un marco realmente seguro, piense cómo implementaría las sesiones que no se pueden buscar (las únicas soluciones que he encontrado para esto dependen de los demonios para la separación de privilegios, por lo que son totalmente inadecuadas para la mayoría de las personas que lo harían). desea proteger los datos de la sesión, es decir, aquellos en paquetes de alojamiento compartido baratos).
Hay muchas otras cosas fuera del dominio de seguridad, por ejemplo, Soporte de mensajería asíncrona. Pero tenga en cuenta que cada vez que agregue más funcionalidad, puede estar negando la posibilidad de usar un marco complementario junto al suyo (por ejemplo, smarty, gaviota, la doctrina es muy capaz en áreas específicas)