Di seguito sono riportati i punti da considerare per rendere sicura l'applicazione php.
- UTILIZZA PDO o mysqli
- Non fidarti mai di nessun input. Considera ogni variabile cioè $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER come se fossero contaminate. Utilizza la misura di filtraggio appropriata per queste variabili.
- Per evitare attacchi XSS, usa le funzioni integrate di php htmlentities, strip_tags, ecc mentre inserisci i dati di input dell'utente nel database.
- Disabilita Register Globals in PHP.INI
- Disabilita "allow_url_fopen" in PHP.INI
- Non consentire all'utente di inserire più dati di quelli richiesti. Convalida l'input per consentire il numero massimo di caratteri. Convalida anche ogni campo per i tipi di dati rilevanti.
- Disabilita la segnalazione degli errori dopo il periodo di sviluppo. Potrebbe fornire informazioni sul database che saranno utili agli hacker.
- Utilizza un token una tantum durante la pubblicazione di un modulo. Se il token esiste e corrisponde, il post del modulo è valido, altrimenti non valido.
- Utilizza query di database parametrizzate
- Utilizzare le procedure memorizzate
Puoi cercare su Google ogni punto per maggiori dettagli. Spero che questo sia d'aiuto
