PHP sigurnost znači zaštitu od čestih web ranjivosti (OWASP Top 10) na svakom sloju — rukovanje ulazom, pristup bazi podataka, izlaz, autentifikacija i konfiguracija. Budući da PHP pokreće veliki dio weba, ova načela su kritična.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Izbjegavajte podatke kontrolirane od strane korisnika na izlazu (htmlspecialchars) tako da injicirani HTML/JS ne mogu biti izvršeni. (Motori za predloške kao što su Twig/Blade automatski izbjegavaju.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
Ugrađene PHP funkcije password_hash/password_verify koriste snažne, soljene, spore algoritme — ispravan način za pohranu lozinki.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Sigurnost je kritična za PHP aplikacije, a razumijevanje ovih načela je neophodno — jer PHP pokreće veliki dio weba, PHP aplikacije su stalne mete napada, a sigurnosni neuspjesi mogu biti katastrofalni (curenje podataka, kompromitacija računa, defacement).
PHP se bavi najčešćim i najpozlitijem web ranjivostima, ali za razliku od nekih okvira, mnogo ovisi o programeru koji slijedi ispravne prakse.
Nepogrešive bitnosti: pripremljene naredbe sprječavaju SQL injection (jedan od najčešćih i najdestruktivnijih napada), izbjegavanje izlaza (htmlspecialchars) sprječava XSS, password_hash/password_verify osiguravaju sigurnu pohranu lozinki (nikada u čistoj verziji/slabe heše), CSRF tokeni štite zahtjeve koji mijenjaju stanje, a rigorozna validacija ulaza (nikada ne vjerovati $_GET/$_POST/$_COOKIE) je temelj.
Jednako važna je sigurna konfiguracija: isključivanje prikaza grešaka u produkciji (greške otkrivaju osjetljive informacije napadačima), čuvanje tajni izvan koda, korištenje HTTPS-a i sigurnih zastavica kolačića, validacija učitavanja i ažuriranje PHP-a i ovisnosti (jer ranjivi paketi su vektor važnog napada).
Razumijevanje ovog slojevitog, pristupa obrani u dubinu — i da jedan zanemareni sloj (injection, otkrivena tajna, neizbjegnuti izlaz, neispravljena ovisnost) može ugroziti cijeli sustav — je važno, znanje visokog rizika za bilo kojeg PHP programera.
Iako moderni okviri (Laravel, Symfony) pružaju mnoge zaštite prema zadanim postavkama, razumijevanje osnovnih prijetnji i praksi je bitna odgovornost za gradnju sigurnih aplikacija, čineći ovo kritičnom, često relevantnom temom za produkcijski PHP.