Sau đây là những điểm cần lưu ý để tạo ứng dụng php an toàn.
- SỬ DỤNG PDO hoặc mysqli
- Không bao giờ tin tưởng bất kỳ đầu vào nào. Hãy coi mọi biến viz $ _POST, $ _GET, $ _COOKIE, $ _SESSION, $ _SERVER như thể chúng bị nhiễm bẩn. Sử dụng biện pháp lọc thích hợp cho các biến này.
- Để tránh bị tấn công XSS, hãy sử dụng các hàm nội trang của php htmlentities, dải_tải, v.v. trong khi chèn dữ liệu đầu vào của người dùng vào cơ sở dữ liệu.
- Tắt tính năng Đăng ký Globals trong PHP.INI
- Tắt “allow_url_fopen” trong PHP.INI
- Không cho phép người dùng nhập nhiều dữ liệu hơn yêu cầu. Xác thực đầu vào để cho phép số ký tự tối đa. Đồng thời xác thực từng trường đối với các kiểu dữ liệu có liên quan.
- Tắt báo cáo lỗi sau Thời gian phát triển. Nó có thể cung cấp thông tin về cơ sở dữ liệu hữu ích cho tin tặc.
- Sử dụng mã thông báo một lần trong khi đăng biểu mẫu. Nếu mã thông báo tồn tại và khớp lệnh thì bài đăng trên biểu mẫu hợp lệ, nếu không thì không hợp lệ.
- Sử dụng các truy vấn cơ sở dữ liệu được tham số hóa
- Sử dụng các quy trình đã lưu trữ
Bạn có thể google từng điểm để biết thêm chi tiết.
