PHP-sikkerhet handler om å forsvare seg mot vanlige nettsvakheter (OWASP Top 10) på hvert lag — innmatahåndtering, databasetilgang, utdata, autentisering og konfigurasjon. Siden PHP driver så mye av nettet, er disse praksisene kritiske.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape brukerkontrollerte data på utdata (htmlspecialchars) slik at injisert HTML/JS ikke kan kjøres. (Templating-motorer som Twig/Blade gjør automatisk escape.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
PHP's innebygde password_hash/password_verify bruker sterke, saltede, langsomme algoritmer — den riktige måten å lagre passord på.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Sikkerhet er kritisk for PHP-applikasjoner, og å forstå disse praksisene er essensielt — fordi PHP driver en stor del av nettet, er PHP-apper konstante angrepsmål, og sikkerhetsfeil kan være katastrofale (databrudd, kontokompromiss, defacement).
PHP adresserer de vanligste og farligste nettsvakhetene, men i motsetning til noen rammeverk, avhenger mye av utvikleren som følger riktig praksis.
De ikke-forhandlingsbare essensielle: forberedte setninger forhindrer SQL-injeksjon (en av de vanligste og mest ødeleggende angrepene), utdata-escaping (htmlspecialchars) forhindrer XSS, password_hash/password_verify sikrer sikker passordlagring (aldri klartekst/svake hasher), CSRF-tokens beskytter tilstandsendringforespørsler, og grundig innmatavalidering (aldri stole på $_GET/$_POST/$_COOKIE) er grunnlaget.
">Likevel viktig er sikker konfigurasjon: å slå av feilvisning i produksjon (feil lekker sensitiv info til angripere), holde hemmeligheter utenfor kode, bruke HTTPS og sikre cookie-flagg, validere opplastinger, og holde PHP og avhengigheter oppdatert (siden sårbare pakker er en stor angrepsvektør).
Å forstå denne lagdelte, dybdeforsvarsplanen — og at en eneste oversett lag (en injeksjon, en lekkende hemmelighet, en unescaped utdata, en lapmangel-avhengighet) kan kompromittere hele systemet — er viktig, høyt-innsats-kunnskap for enhver PHP-utvikler.
Mens moderne rammeverk (Laravel, Symfony) gir mange beskyttelser som standard, er det essensielt ansvar å forstå de underliggende truslene og praksisene for å bygge sikre applikasjoner, noe som gjør dette til et kritisk, hyppig relevant emne for PHP i produksjon.