PHP bezpečnost znamená ochranu před běžnými webovými zranitelnostmi (OWASP Top 10) na každé úrovni — zpracování vstupu, přístup k databázi, výstup, autentifikace a konfigurace. Protože PHP pohání velkou část webu, tyto praktiky jsou kritické.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape uživatelsky kontrolovaných dat na výstupu (htmlspecialchars), aby se injektované HTML/JS nemohlo spustit. (Šablonové enginy jako Twig/Blade automaticky escapují.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
PHP vestavěné password_hash/password_verify používají silné, solené, pomalé algoritmy — správný způsob ukládání hesel.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Bezpečnost je kritická pro PHP aplikace a pochopení těchto praktik je nezbytné — protože PHP pohání obrovský podíl webu, PHP aplikace jsou konstantní cíle útoků a bezpečnostní selhání mohou být katastrofální (úniky dat, kompromitace účtů, defacement).
PHP řeší nejčastější a nejnebezpečnější webové zranitelnosti, ale na rozdíl od některých frameworků velmi závisí na tom, že vývojář dodržuje správné praktiky.
Naprosto nezbytné esenciály: prepared statements zabraňují SQL injection (jeden z nejčastějších a nejdestruktivnějších útoků), escape výstupu (htmlspecialchars) zabraňuje XSS, password_hash/password_verify zajišťují bezpečné ukládání hesel (nikdy prosté texty/slabé heše), CSRF tokeny chrání požadavky, které mění stav, a přísná validace vstupu (nikdy nedůvěřování $_GET/$_POST/$_COOKIE) je základem.
Rovnocenně důležitá je bezpečná konfigurace: vypnutí zobrazení chyb v produkci (chyby odhalují citlivé informace útočníkům), uchovávání tajemství mimo kód, používání HTTPS a bezpečných cookie flags, validace uploadů a udržování PHP a závislostí v aktuálním stavu (protože zranitelné balíčky jsou hlavním vektorem útoku).
Pochopení tohoto vrstvitého, defense-in-depth přístupu — a toho, že jediná přehlédnutá vrstva (injekce, uniklé tajemství, neuniknutý výstup, neopravená závislost) může ohrozit celý systém — je důležité, vysokoriziková znalost pro každého PHP vývojáře.
Ačkoli moderní frameworky (Laravel, Symfony) poskytují mnoho ochran standardně, pochopení základních hrozeb a praktik je esenciální odpovědností pro budování bezpečných aplikací, což dělá z tohoto kritického, často relevantního tématu pro produkční PHP.