Poniżej znajdują się punkty, które należy wziąć pod uwagę przy tworzeniu bezpiecznej aplikacji php.
- UŻYJ PDO lub mysqli
- Nigdy nie ufaj żadnym danym wejściowym. Rozważ każdą zmienną, a mianowicie $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER tak, jakby były skażone. Użyj odpowiedniej miary filtrowania dla tych zmiennych.
- Aby uniknąć ataku XSS, użyj wbudowanych funkcji php htmlentities,strip_tags, itp. podczas wstawiania danych wejściowych użytkownika do bazy danych.
- Wyłącz rejestrację globalną w PHP.INI
- Wyłącz „allow_url_fopen” w PHP.INI
- Nie zezwalaj użytkownikowi na wprowadzanie większej ilości danych niż jest to wymagane. Sprawdź poprawność danych wejściowych, aby zezwolić na maksymalną liczbę znaków. Sprawdź również poprawność każdego pola pod kątem odpowiednich typów danych.
- Wyłącz raportowanie błędów po okresie rozwoju. Może dostarczyć informacji o bazie danych, które będą przydatne dla hakerów.
- Użyj jednorazowego tokena podczas publikowania formularza. Jeśli token istnieje i pasuje, post w formularzu jest ważny, w przeciwnym razie jest nieważny.
- Użyj sparametryzowanych zapytań do bazy danych
- Użyj procedur składowanych
Możesz wygooglować każdy punkt, aby uzyskać więcej informacji. Mam nadzieję, że to pomoże
