Níže jsou uvedeny body, které je třeba vzít v úvahu při vytváření bezpečné aplikace php.
- POUŽÍVEJTE PDO nebo mysqli
- Nikdy nevěřte žádným vstupům. Zvažte každou proměnnou $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER, jako by byla poskvrněná. Pro tyto proměnné použijte vhodné měřítko filtrování.
- Abyste se vyhnuli útokům XSS, použijte při vkládání uživatelských vstupních dat do databáze vestavěné funkce PHP htmlentities, strip_tags atd.
- Zakažte registraci Globals v PHP.INI
- Zakažte „allow_url_fopen“ v PHP.INI
- Nedovolte uživateli zadávat více dat, než je požadováno. Ověřte vstup, aby byl povolen maximální počet znaků. Také ověřte každé pole pro relevantní datové typy.
- Zakázat hlášení chyb po období vývoje. Může poskytnout informace o databázi, které budou užitečné pro hackery.
- Při odesílání formuláře použijte jednorázový token. Pokud token existuje a odpovídá, příspěvek formuláře je platný, jinak je neplatný.
- Používejte parametrizované databázové dotazy
- Používejte uložené procedury
Další podrobnosti můžete vyhledat u každého bodu pomocí Googlu. Snad to pomůže