شما توی کنترلر خودتون میتونید با محدودکردن اکشنها به @ (در قسمت users) فقط اجازه استفاده از اون اکشنها رو به کاربران لاگین کرده بدین. حالت پیشفرض Yii که توی پروژه Skeleton قرار گرفته این نیست چون قرار هم نیست این پروژه، پروژه واقعی و نهایی شما باشه و صرفاً یک اسکلت برای ساخت بقیه سایت روی اون و انجام تغییرات لازم هست.
درمورد امنیت بیشتر هم بهتره درمورد حملات SQL Injection و JS Injection و CSRF و XSS و... تحقیق کنید. Yii هم راههای خوبی رو برای مقابله با هرکدوم از این حملات ارائه کرده ولی قبل از اینکه راه حل Yii رو دنبال کنید، درمورد خود حملات تحقیق کنید.
پاسخ با نقل قول