PHP सुरक्षा भनेको सामान्य वेब कमजोरीहरू (OWASP Top 10) विरुद्ध हरेक स्तरमा रक्षा गरनु हो — इनपुट ह्यान्डलिङ, डेटाबेस पहुँच, आउटपुट, प्रमाणीकरण, र कन्फिगरेशन। PHP ले वेबको यत्तिको ठूलो भाग चलाउने भएकोले, यी अभ्यासहरू गुरुत्वपूर्ण छन्।
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
यूजर-नियन्त्रित डेटा आउटपुटमा escape गर्नुहोस् (htmlspecialchars) ताकि इन्जेक्ट गरिएको HTML/JS कार्यान्वयन गर्न सकेन। (Twig/Blade जस्ता Templating engines स्वचालित रूपमा escape गर्छन्।)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
PHP को बिल्ट-इन password_hash/password_verify ले शक्तिशाली, salted, ढिलो एल्गोरिदम प्रयोग गर्छन् — पासवर्ड सङ्ग्रह गर्नको सही तरिका।
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
PHP अनुप्रयोगहरूको लागि सुरक्षा गुरुत्वपूर्ण छ, र यी अभ्यासहरू बुझ्न आवश्यक छ — किनभने PHP ले वेबको विशाल अनुपात चलाउँछ, PHP अनुप्रयोगहरू लगातार आक्रमणको लक्ष्य हुन्छन्, र सुरक्षा विफलताहरू विनाशकारी हुन सक्छन् (डेटा ब्रीच, खाता समझोता, विकृति)।
PHP सबैभन्दा सामान्य र खतरनाक वेब कमजोरीहरूको समाधान गर्छ, तर केही फ्रेमवर्कहरूको विपरीत, धेरैजसो विकासकर्ताले सही अभ्यास अनुसरण गर्नमा निर्भर गर्दछ।
अपरिहार्य आवश्यकताहरू: तयार गरिएको स्टेटमेन्ट SQL injection रोक्छ (सबैभन्दा सामान्य र विनाशकारी आक्रमणहरू मध्ये एक), आउटपुट escaping (htmlspecialchars) XSS रोक्छ, password_hash/password_verify सुरक्षित पासवर्ड भण्डारण सुनिश्चित गर्छ (कहिले पनि plaintext/कमजोर hash हुँदैन), CSRF टोकन स्थिति-परिवर्तन गरिने अनुरोधहरू सुरक्षा गर्छन्, र कठोर इनपुट मान्यतागत (कहिले $_GET/$_POST/$_COOKIE विश्वास नगर्नु) आधार हो।
समान रूपमा महत्त्वपूर्ण छ सुरक्षित कन्फिगरेशन: उत्पादनमा त्रुटि प्रदर्शन बन्द गर्नु (त्रुटिहरूले आक्रमणकारीलाई संवेदनशील जानकारी लीक गर्छन्), कोडबाट गोपनीयताहरू राखनु, HTTPS र सुरक्षित कुकी फ्ल्यागहरू प्रयोग गर्नु, अपलोड मान्यतागत गर्नु, र PHP र निर्भरताहरू अद्यावधिक राख्नु (किनभने असुरक्षित प्याकेजहरू प्रमुख आक्रमण भेक्टर हुन्)।
यो स्तरीय, defense-in-depth दृष्टिकोण बुझ्नु — र यो कि एक पनि उपेक्षा गरिएको स्तर (एक इन्जेक्शन, एक लीक गरिएको गोपनीयता, एक unescaped आउटपुट, एक unpatched निर्भरता) पूरो प्रणाली समझोता गर्न सक्छ — कुनै पनि PHP विकासकर्ताको लागि महत्त्वपूर्ण, उच्च-दांवको ज्ञान हो।
आधुनिक फ्रेमवर्कहरू (Laravel, Symfony) ले अनेक सुरक्षा पूर्वनिर्धारितद्वारा प्रदान गर्छन्, तर अन्तर्निहित खतराहरू र अभ्यासहरू बुझ्न सुरक्षित अनुप्रयोगहरू निर्माण गर्नको लागि आवश्यक जिम्मेवारी हो, यसलाई उत्पादन PHP को लागि एक गुरुत्वपूर्ण, बारम्बार-प्रासङ्गिक विषय बनाउँदै।