PHP ਵਿੱਚ ਮੁੱਖ ਸੁਰੱਖਿਆ ਸਭ ਵਧੀਆ ਅਭਿਆਸ ਕਿਹੜੇ ਹਨ?

Question

Accepted Answer

PHP ਸੁਰੱਖਿਆ ਦਾ ਮਤਲਬ ਹਰ ਪ੍ਰਤ — ਇਨਪੁਟ ਹ੍ਰੂ, ਡੇਟਾਬੇਸ ਪਹੁੰਚ, ਆਉਟਪੁਟ, ਪ੍ਰਮਾਣੀਕਰਣ, ਅਤੇ ਸੰਰਚਨਾ — ਆਮ ਵੈਬ ਭੇਦਯੋਗਤਾ (OWASP Top 10) ਤੋਂ ਰੱਖਿਆ ਕਰਨਾ ਹੈ। ਕਿਉਂਕਿ PHP ਵੈਬ ਦਾ ਬਹੁਤ ਵੱਡਾ ਹਿੱਸਾ ਚਲਾਉਂਦਾ ਹੈ, ਇਹ ਅਭਿਆਸ ਸਮਾਲੋਚਨਾਤਮਕ ਹਨ।

## 1. SQL injection ਨੂੰ ਰੋਕਿਆ — prepared statements

```php
// ❌ NEVER concatenate user input into SQL
$pdo->query("SELECT * FROM users WHERE id = " . $_GET['id']);   // INJECTION
// ✅ ALWAYS use prepared statements (input treated as data, not SQL)
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$_GET['id']]);
```

## 2. XSS ਨੂੰ ਰੋਕੋ — ਸਾਰੇ ਆਉਟਪੁਟ ਨੂੰ ਬਚਾਓ

```php
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
```

ਆਉਟਪੁਟ ਉੱਤੇ ਯੂਜ਼ਰ-ਨਿਯੰਤਰਿਤ ਡੇਟਾ ਨੂੰ ਬਚਾਓ (`htmlspecialchars`) ਤਾਂ ਜੋ ਇਨਜੈਕਟ ਕੀਤਾ ਗਿਆ HTML/JS ਚਲਾਉ ਨਾ ਸਕੇ। (Twig/Blade ਵਰਗੇ Templating engines ਸਵਲੈ-ਬਚਾਅ ਕਰਦੇ ਹਨ।)

## 3. ਪਾਸਵਰਡ ਨੂੰ ਸਹੀ ਤਰ੍ਹਾਂ Hash ਕਰੋ

```php
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
```

PHP ਦਾ ਬਿਲਤ-ਸੰਭਵ `password_hash`/`password_verify` ਮਜ਼ਬੂਤ, salted, ਸਲੌ ਅਲਗੋਰਿਦਮ ਵਰਤਦੇ ਹਨ — ਪਾਸਵਰਡ ਸਟੋਰ ਕਰਨ ਦਾ ਸਹੀ ਤਰੀਕਾ।

## 4. CSRF ਨੂੰ ਰੋਕੋ — tokens

```php
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
```

## 5. ਸਾਰੇ ਇਨਪੁਟ ਨੂੰ ਵੈਲੀਡੇਟ ਅਤੇ ਸ਼ਮਾਣਕ ਕਰੋ

```php
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL);   // validate
$id = (int) $_GET['id'];                                        // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
```

## 6. ਸੁਰੱਖਿਤ ਸੰਰਚਨਾ ਅਤੇ ਹੋਰ ਅਭਿਆਸ

```text
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
```

## ਇਹ ਮਾਇਨੇ ਕਿਉਂ ਰੱਖਦਾ ਹੈ

PHP ਐਪਲੀਕੇਸ਼ਨ ਲਈ ਸੁਰੱਖਿਆ ਜ਼ਰੂਰੀ ਹੈ, ਅਤੇ ਇਹਨਾਂ ਅਭਿਆਸਾਂ ਨੂੰ ਸਮਝਣਾ ਜ਼ਰੂਰੀ ਹੈ — ਕਿਉਂਕਿ PHP ਵੈਬ ਦਾ ਵਿਸ਼ਾਲ ਹਿੱਸਾ ਚਲਾਉਂਦਾ ਹੈ, PHP apps ਨਿਰੰਤਰ ਹਮਲਿਆਂ ਦੇ ਟਾਰਗਟ ਹਨ, ਅਤੇ ਸੁਰੱਖਿਆ ਅਸਫਲਤਾਵਾਂ ਵਿਨਾਸ਼ਕਾਰੀ ਹੋ ਸਕਦੀਆਂ ਹਨ (ਡੇਟਾ ਲੀਕ, ਖਾਤਾ ਸਮਝੌਤਾ, ਅਤੇ defacement)।

PHP ਸਭ ਤੋਂ ਆਮ ਅਤੇ ਖਤਰਨਾਕ ਵੈਬ ਭੇਦਯੋਗਤਾ ਨੂੰ ਦੂਰ ਕਰਦਾ ਹੈ, ਪਰ ਕੁਝ frameworks ਦੇ ਉਲਟ, ਬਹੁਤ ਕੁਝ developer ਦੁਆਰਾ ਸਹੀ ਅਭਿਆਸਾਂ ਦੀ ਪਾਲਨਾ ਉੱਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ।

ਨਾ-ਜ਼ਰੂਰੀ ਮੁੱਖਪ੍ਰਵਾਲ: **prepared statements** SQL injection ਨੂੰ ਰੋਕਦੇ ਹਨ (ਸਭ ਤੋਂ ਆਮ ਅਤੇ ਵਿਨਾਸ਼ਕਾਰੀ ਹਮਲਿਆਂ ਵਿੱਚੋਂ ਇੱਕ), **output escaping** (`htmlspecialchars`) XSS ਨੂੰ ਰੋਕਦਾ ਹੈ, **`password_hash`/`password_verify`** ਸੁਰੱਖਿਤ ਪਾਸਵਰਡ ਸਟੋਰੇਜ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹਨ (ਕਦੇ plaintext/ਕਮਜ਼ੋਰ hashes ਨਹੀਂ), **CSRF tokens** state-ਬਦਲਨ ਵਾਲੀਆਂ requests ਨੂੰ ਸੁਰੱਖਿਤ ਕਰਦੇ ਹਨ, ਅਤੇ **ਸਖ਼ਤ input validation** (ਕਦੇ `$_GET`/`$_POST`/`$_COOKIE` ਉੱਤੇ ਭਰੋਸਾ ਮਤ ਕਰੋ) ਵਿੱਤੀ ਬੁਨਿਆਦ ਹੈ।

ਬਰਾਬਰ ਮਹੱਤਵਪੂਰਣ ਹੈ **secure configuration**: production ਵਿੱਚ errors ਦਾ display ਬੰਦ ਕਰਨਾ (errors ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ hackers ਲਈ leak ਕਰਦੇ ਹਨ), code ਤੋਂ secrets ਨੂੰ ਬਾਹਰ ਰੱਖਣਾ, HTTPS ਅਤੇ secure cookie flags ਵਰਤਣਾ, uploads ਨੂੰ ਵਾਲਿਡੇਟ ਕਰਨਾ, ਅਤੇ PHP ਅਤੇ dependencies ਨੂੰ ਅਪਡੇਟ ਰੱਖਣਾ (ਕਿਉਂਕਿ vulnerable packages ਇੱਕ ਵੱਡੇ ਹਮਲਿਆਂ ਦਾ vector ਹਨ)।
udaya layered, defense-in-depth approach — ਅਤੇ ਇਹ ਅਹਿਸਾਸ ਕਿ ਇੱਕ ਅਣ-ਦੇਖੀ ਜਾਂ ਭੁੱਲੀ ਗਈ layer (ਇੱਕ injection, ਇੱਕ leaked secret, ਇੱਕ unescaped output, ਇੱਕ unpatched dependency) ਪੂਰੀ ਸਿਸਟਮ ਨੂੰ ਸਮਝੌਤਾ ਕਰ ਸਕਦੀ ਹੈ — ਉਹ ਮਹੱਤਵਪੂਰਣ, high-stakes ਗਿਆਨ ਹੈ ਕਿਸੇ ਵੀ PHP developer ਲਈ।

ਜਦਕਿ ਆਧੁਨਿਕ frameworks (Laravel, Symfony) ਬਹੁ ਤੋਂ ਬਹੁ ਸੰਰਖਣ ਨੂੰ ਡਿਫਾਲਟ ਰੂਪ ਵਿੱਚ ਫੜਾਉਂਦੇ ਹਨ, ਅੰਤਰ ਸੰਭਾਵੀ ਭਿੰਡੁਆਵਾਂ ਅਤੇ ਅਭਿਆਸਾਂ ਨੂੰ ਸਮਝਣਾ ਧਜ੍ਹੀ ਜਿੰਮੇਵਾਰੀ ਹੈ ਸੁਰੱਖਿਤ applications ਨੂੰ ਬਿਲਲਣ ਲਈ, ਇਹ ਨੂੰ ਇੱਕ ਮਹੱਤਵਪੂਰਣ, ਵਾਰ-ਵਾਰ-ਨਿਰੰਤਰ topic production PHP ਲਈ ਬਣਾਉਂਦਾ ਹੈ।