PHP-sikkerhed betyder at forsvare sig mod almindelige websårbarheder (OWASP Top 10) på hvert lag — inputhåndtering, databaseadgang, output, godkendelse og konfiguration. Da PHP driver så meget af webbet, er disse praksisser kritiske.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Undslip brugercontrollerede data ved output (htmlspecialchars), så injiceret HTML/JS ikke kan køre. (Template-engines som Twig/Blade undslipper automatisk.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
PHPs indbyggede password_hash/password_verify bruger stærke, saltede, langsomme algoritmer — den korrekte måde at gemme adgangskoder på.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Sikkerhed er kritisk for PHP-applikationer, og at forstå disse praksisser er vigtig — da PHP driver en enorm del af webbet, er PHP-apps konstante angrebsmål, og sikkerhedsfejl kan være katastrofale (databrud, kompromitterede konti, defacement).
PHP adresserer de mest almindelige og farlige websårbarheder, men i modsætning til nogle frameworks afhænger meget af, at udvikleren følger korrekte praksisser.
De uomgængelige vigtigste ting: forberedte statements forhindrer SQL-injektioner (et af de mest almindelige og ødelæggende angreb), output-undslipning (htmlspecialchars) forhindrer XSS, password_hash/password_verify sikrer sikker adgangskodelagring (aldrig plaintext/svage hashes), CSRF-tokens beskytter tilstandsændring af anmodninger, og grundig inputvalidering (aldrig stole på $_GET/$_POST/$_COOKIE) er grundlaget.
Ligeså vigtig er sikker konfiguration: at slå fejlvisning fra i produktion (fejl lækker sensitiv information til angribere), at holde hemmeligheder uden for kode, at bruge HTTPS og sikre cookie-flag, at validere uploads, og at holde PHP og afhængigheder opdaterede (da sårbare pakker er en vigtig angrebsvektor).
At forstå denne lagdelte, forsvars-i-dybden tilgang — og at en enkelt overset lag (en injektioner, en lækket hemmelighed, et uundslubet output, en uopdateret afhængighed) kan kompromittere hele systemet — er vigtig, højindsats-viden for enhver PHP-udvikler.
Skønt moderne frameworks (Laravel, Symfony) giver mange beskyttelser som standard, er det en vigtig ansvar at forstå de underliggende trusler og praksisser for at bygge sikre applikationer, hvilket gør dette til et kritisk, hyppigt relevant emne for produktions-PHP.