Im Folgenden sind die Punkte aufgeführt, die für eine sichere PHP-Anwendung zu berücksichtigen sind.
- Verwenden Sie PDO oder mysqli
- Vertraue niemals irgendwelchen Eingaben. Betrachten Sie jede Variable, nämlich $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER, als wären sie verdorben. Verwenden Sie geeignete Filtermaßnahmen für diese Variablen.
- Um einen XSS-Angriff zu vermeiden, verwenden Sie die in PHP integrierten Funktionen htmlentities, strip_tags usw., während Sie die Benutzereingabedaten in die Datenbank einfügen.
- Register Globals in PHP.INI deaktivieren
- Deaktivieren Sie „allow_url_fopen“ in PHP.INI
- Gestatten Sie dem Benutzer nicht, mehr Daten als erforderlich einzugeben. Validieren Sie die Eingabe, um die maximale Anzahl von Zeichen zuzulassen. Validieren Sie auch jedes Feld für relevante Datentypen.
- Deaktivieren Sie die Fehlerberichterstattung nach der Entwicklungszeit. Es könnte Informationen über Datenbanken geben, die für Hacker nützlich sind.
- Verwenden Sie ein einmaliges Token beim Versenden eines Formulars. Wenn Token vorhanden ist und mit dem Formular übereinstimmt, ist Post gültig, andernfalls ungültig.
- Verwenden Sie parametrisierte Datenbankabfragen
- Gespeicherte Prozeduren verwenden
Sie können für weitere Details nach jedem Punkt googeln. Huch, das hilft
