Il linguaggio di scripting PHP generalmente è un linguaggio di programmazione molto sicuro, soprattutto perché esso non soffre di attacchi di buffer overflow, come la lingua non si basa nella memoria. Esistono, tuttavia, falle di sicurezza e pericoli nascosti con la lingua. Grazie alla semplicità del linguaggio, alcuni codificatori accidentalmente possono lasciare vulnerabilità all'interno del codice. Quando si utilizza campi di input in PHP, ci sono certe cose che si dovrebbe guardare fuori per.
Cross Site Scripting
Cross Site Scripting o XSS è dove inserirete il contenuto allo script PHP, ad esempio un Javascript. XSS è molto utile, ad esempio, se si stavano radunando le notizie in una pagina Web. Ancora se si dispone di uno script che permette agli utenti di scegliere un numero di pagina e inseriscono invece uno script a un codice esterno, quindi il XSS porterà a buchi di sicurezza. Aggiungere un "strip_tags ()" in PHP per rimuovere input HTML.
SQL Injection
SQL Injection permette per buchi di sicurezza nel vostro database. In un form di accesso utente, ad esempio, se si utilizza un basic "password = '$password'" di script, poi l'hacker può immettere "' o 1 = 1" nel campo password e log nel database. Ciò significa che l'hacker può immettere qualsiasi account che conosce il nome utente per. Inserire il "mysql_real_escape_string ()" per impedire che questo accada.
Input del Form spoofing
Come con SQL Injection, se avete qualsiasi tipo di forma come un "input" o "textarea", quindi un hacker può utilizzare questi elementi di sola lettura a istruzioni nello script e comandi SQL. Risolvere il problema come si farebbe con SQL injection se esso utilizza le query SQL al database principale.
Upload di file
Se si desidera offrire una casella di input di caricare file sul tuo sito Web, ciò pone un pericolo potenzialmente grande ingresso. Ci sono due cose da fare per risolvere questo problema. In primo luogo, specificare il tipo mime per i file desiderati caricato; ad esempio, aggiungere "image/png" e "image/gif" al tag $validMimes per ridurre i tipi di file a quei mimi. Il tipo mime, per una maggiore sicurezza di seguito aggiungere "= > 'png'" del tag png, per garantire che il tipo mime corrisponde all'estensione di file.