Keamanan PHP berarti melindungi dari kerentanan web umum (OWASP Top 10) di setiap lapisan — penanganan input, akses database, output, autentikasi, dan konfigurasi. Karena PHP menggerakkan begitu banyak web, praktik ini sangat penting.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape data yang dikendalikan pengguna pada output (htmlspecialchars) sehingga HTML/JS yang disuntikkan tidak dapat dieksekusi. (Mesin template seperti Twig/Blade auto-escape.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
password_hash/password_verify bawaan PHP menggunakan algoritma yang kuat, tersalted, dan lambat — cara yang benar untuk menyimpan password.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Keamanan sangat penting untuk aplikasi PHP, dan memahami praktik ini sangat penting — karena PHP menggerakkan sebagian besar web, aplikasi PHP adalah target serangan konstan, dan kegagalan keamanan dapat bencana (pelanggaran data, kompromi akun, perusakan). PHP mengatasi kerentanan web yang paling umum dan berbahaya, tetapi tidak seperti beberapa framework, banyak tergantung pada pengembang yang mengikuti praktik yang benar.
Esensial yang tidak dapat ditawar: prepared statements mencegah SQL injection (salah satu serangan paling umum dan merusak), output escaping (htmlspecialchars) mencegah XSS, password_hash/password_verify memastikan penyimpanan password yang aman (jangan plaintext/hash lemah), CSRF tokens melindungi permintaan yang mengubah status, dan validasi input yang ketat (jangan pernah mempercayai $_GET/$_POST/$_COOKIE) adalah fondasi.
Sama pentingnya adalah konfigurasi aman: menonaktifkan tampilan error dalam produksi (error membocorkan info sensitif kepada penyerang), menyimpan rahasia keluar dari kode, menggunakan HTTPS dan flag cookie aman, memvalidasi upload, dan menjaga PHP dan dependency tetap terbaru (karena paket yang rentan adalah vektor serangan utama).
Memahami pendekatan berlapis, defense-in-depth ini — dan bahwa satu lapisan yang diabaikan (injeksi, rahasia yang bocor, output yang tidak di-escape, dependency yang tidak dipatch) dapat membahayakan seluruh sistem — adalah pengetahuan penting dan berisiko tinggi bagi pengembang PHP mana pun. Meskipun framework modern (Laravel, Symfony) menyediakan banyak perlindungan secara default, memahami ancaman dan praktik yang mendasar adalah tanggung jawab penting untuk membangun aplikasi yang aman, menjadikan ini topik yang kritis dan sering relevan untuk PHP produksi.