La sicurezza in PHP significa difendersi dalle vulnerabilità web comuni (OWASP Top 10) a ogni livello — gestione dell'input, accesso al database, output, autenticazione e configurazione. Poiché PHP alimenta gran parte del web, queste pratiche sono critiche.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape dei dati controllati dall'utente in output (htmlspecialchars) in modo che HTML/JS iniettato non possa essere eseguito. (Template engine come Twig/Blade auto-escapano.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
I password_hash/password_verify integrati di PHP utilizzano algoritmi forti, salted e lenti — il modo corretto per memorizzare le password.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
La sicurezza è critica per le applicazioni PHP, e la comprensione di queste pratiche è essenziale — perché PHP alimenta un'enorme parte del web, le app PHP sono bersagli costanti di attacchi, e i fallimenti di sicurezza possono essere catastrofici (violazioni di dati, compromissione di account, difacimento).
PHP affronta le vulnerabilità web più comuni e pericolose, ma a differenza di alcuni framework, molto dipende dallo sviluppatore che segue le pratiche corrette.
I fondamenti non negoziabili: prepared statements prevengono SQL injection (uno degli attacchi più comuni e devastanti), output escaping (htmlspecialchars) previene XSS, password_hash/password_verify assicurano archiviazione sicura delle password (mai plaintext/hash deboli), token CSRF proteggono le richieste che cambiano lo stato, e rigida validazione dell'input (non fidarsi mai di $_GET/$_POST/$_COOKIE) è il fondamento.
Egualmente importante è la configurazione sicura: disattivare la visualizzazione degli errori in produzione (gli errori rivelano informazioni sensibili agli attaccanti), mantenere i segreti fuori dal codice, utilizzare HTTPS e flag di cookie sicuri, convalidare gli upload, e mantenere PHP e le dipendenze aggiornati (poiché i pacchetti vulnerabili sono un importante vettore di attacco).
Comprendere questo approccio stratificato di difesa in profondità — e che un singolo livello trascurato (un'injection, un segreto rivelato, un output non escapato, una dipendenza senza patch) può compromettere l'intero sistema — è conoscenza importante e ad alto rischio per qualsiasi sviluppatore PHP.
Mentre i framework moderni (Laravel, Symfony) forniscono molte protezioni per impostazione predefinita, la comprensione delle minacce e delle pratiche sottostanti è responsabilità essenziale per costruire applicazioni sicure, rendendolo un argomento critico e frequentemente rilevante per PHP in produzione.