A PHP biztonsági gyakorlat azt jelenti, hogy minden rétegben – input feldolgozás, adatbázis-hozzáférés, kimenet, hitelesítés és konfiguráció – védekezünk az általános webes sebezhetőségek (OWASP Top 10) ellen. Mivel a PHP az internet nagy részét működteti, ezek az eljárások kritikusak.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape-elj felhasználó által kontrollált adatokat a kimeneten (htmlspecialchars), hogy az injektált HTML/JS ne tudjon futni. (A Twig/Blade-hoz hasonló template engine-ek automatikusan escape-elnek.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
A PHP beépített password_hash/password_verify erős, sózott, lassú algoritmusokat használ — ez a helyes módja a jelszavak tárolásának.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
A biztonsági a PHP alkalmazások számára kritikus, és ezeknek az eljárásoknak az ismerete elengedhetetlen — mivel a PHP az internet hatalmas részét működteti, a PHP alkalmazások állandó támadási célpontok, és a biztonsági hibák katasztrofálisak lehetnek (adatszivárgás, fiók-kompromittálás, weboldal-rongálás).
A PHP a leggyakoribb és legveszélyesebb webes sebezhetőségeket kezeli, de az olyan keretrendszerektől eltérően sok múlik arra, hogy a fejlesztő helyes eljárásokat követ-e.
A nélkülözhetetlen lépések: az előkészített utasítások megakadályozzák az SQL injection-t (az egyik leggyakoribb és legkárosabb támadás), a kimenet escape-elése (htmlspecialchars) megakadályozza az XSS-t, a password_hash/password_verify biztosítja a biztonságos jelszó-tárolást (soha nem egyszerű szöveg/gyenge hash), a CSRF tokenek megvédik az állapotot módosító kéréseket, és a szigorú input validálás (soha nem megbízás a $_GET/$_POST/$_COOKIE adatában) az alapozás.
Egyelemül fontos a biztonságos konfiguráció: a hibakijelzés kikapcsolása termelési környezetben (a hibák érzékeny információt szivárogtatnak a támadók felé), a titkok kódból való eltávolítása, a HTTPS és biztonságos cookie-jelzők használata, a feltöltések validálása, valamint a PHP és a függőségek frissítésben tartása (mivel a sebezhető csomagok a támadások jelentős vektora).
A rétegzett, defense-in-depth megközelítés megértése — és annak felismerése, hogy egyetlen figyelmen kívül hagyott réteg (egy injection, egy szivárgott titok, egy escape-eletlen kimenet, egy frissítetlen függőség) kompromittálhatja az egész rendszert — fontos, magas tétű tudás minden PHP fejlesztő számára.
Habár a modern keretrendszerek (Laravel, Symfony) sok védelmet alapértelmezetten nyújtanak, a mögöttes fenyegetések és eljárások megértése a biztonságos alkalmazások építésének lényeges feladata, így ez egy kritikus, gyakran aktuális témakör a termelési PHP fejlesztésben.