Keselamatan PHP bermaksud mempertahankan terhadap kelemahan web biasa (OWASP Top 10) di setiap lapisan — pengendalian input, akses pangkalan data, output, pengesahan, dan konfigurasi. Memandangkan PHP menggerakkan begitu banyak web, amalan ini adalah kritikal.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape data yang dikawal pengguna pada output (htmlspecialchars) supaya HTML/JS yang disuntik tidak boleh dilaksanakan. (Enjin templat seperti Twig/Blade auto-escape.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
password_hash/password_verify terbina dalam PHP menggunakan algoritma yang kuat, ber-salt, dan perlahan — cara yang betul untuk menyimpan kata laluan.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Keselamatan adalah kritikal untuk aplikasi PHP, dan memahami amalan ini adalah penting — kerana PHP menggerakkan sebahagian besar web, aplikasi PHP menjadi sasaran serangan yang berterusan, dan kegagalan keselamatan boleh menjadi dahsyat (pelanggaran data, kompromi akaun, defacement).
PHP menangani kelemahan web yang paling biasa dan berbahaya, tetapi tidak seperti sesetengah framework, banyak bergantung pada pembangun yang mengikut amalan yang betul.
Intipati yang tidak boleh dirunding: prepared statement mencegah SQL injection (salah satu serangan yang paling biasa dan memusnahkan), escape output (htmlspecialchars) mencegah XSS, password_hash/password_verify memastikan penyimpanan kata laluan yang selamat (tidak pernah plaintext/hash lemah), token CSRF melindungi permintaan yang mengubah keadaan, dan pengesahan input yang teliti (tidak pernah mempercayai $_GET/$_POST/$_COOKIE) ialah asasnya.
Sama pentingnya ialah konfigurasi selamat: mematikan paparan error dalam production (error membocorkan maklumat sensitif kepada penyerang), mengekalkan rahsia jauh dari kod, menggunakan HTTPS dan bendera cookie yang selamat, mengesahkan muat naik, dan mengekalkan PHP serta dependency terkini (kerana pakej yang terdedah ialah vektor serangan utama).
Memahami pendekatan defense-in-depth yang berlapis ini — dan bahawa satu lapisan yang terlepas pandang (suatu injection, rahsia yang bocor, output yang tidak di-escape, dependency yang tidak ditampal) boleh mengkompromi keseluruhan sistem — ialah pengetahuan penting dan berisiko tinggi untuk mana-mana pembangun PHP.
Walaupun framework moden (Laravel, Symfony) menyediakan banyak perlindungan secara lalai, memahami ancaman dan amalan asas ialah tanggungjawab penting untuk membina aplikasi yang selamat, menjadikan ini topik yang kritikal dan kerap berkaitan untuk PHP production.