Följande är de punkter som bör beaktas för att göra en säker php-applikation.
- ANVÄND PDO eller mysqli
- Lita aldrig på några indata. Betrakta varje variabel, nämligen $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER som om de var fläckade. Använd lämpligt filtreringsmått för dessa variabler.
- För att undvika XSS-attacker använd phps inbyggda funktioner htmlentities,strip_tags, etc medan du infogar användarens indata i databasen.
- Inaktivera Register Globals i PHP.INI
- Inaktivera "allow_url_fopen" i PHP.INI
- Tillåt inte användaren att mata in mer data än vad som krävs. Validera inmatning för att tillåta maximalt antal tecken. Validera också varje fält för relevanta datatyper.
- Inaktivera felrapportering efter utvecklingsperioden. Det kan ge information om databasen som är användbar för hackare.
- Använd en tidstoken när du lägger upp ett formulär. Om token finns och matchar är formulärinlägget giltigt annars ogiltigt.
- Använd parametriserade databasfrågor
- Använd lagrade procedurer
Du kan googla för varje punkt för mer information. Hoppas detta hjälper