Securitatea PHP înseamnă apărarea împotriva vulnerabilităților web comune (OWASP Top 10) la fiecare nivel — gestionarea intrărilor, accesul la bază de date, ieșire, autentificare și configurație. Deoarece PHP alimentează o mare parte a web-ului, aceste practici sunt critice.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Evadați datele controlate de utilizator la ieșire (htmlspecialchars) pentru ca HTML/JS injectat să nu se execute. (Motoarele de șabloane precum Twig/Blade evadează automat.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
Funcțiile password_hash/password_verify încorporate în PHP folosesc algoritmi puternici, sărați și lenti — modalitatea corectă de a stoca parolele.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Securitatea este critică pentru aplicațiile PHP, iar înțelegerea acestor practici este esențială — deoarece PHP alimentează o proporție imensă a web-ului, aplicațiile PHP sunt ținte constante de atac, iar eșecurile de securitate pot fi catastrofale (breșe de date, compromitere de conturi, defacement).
PHP se adresează vulnerabilităților web cele mai comune și periculoase, dar spre deosebire de unele framework-uri, mult depinde de developer-ul care urmează practicile corecte.
Esențialele care nu sunt negociabile: declarațiile pregătite previn injecția SQL (una dintre cele mai comune și devastatoare atacuri), evadarea ieșirii (htmlspecialchars) previne XSS, password_hash/password_verify asigură stocarea sigură a parolelor (niciodată plaintext/hash-uri slabe), tokenurile CSRF protejează cererile care modifică stare, și validarea riguroasă a intrărilor (niciodată nu vă încredințați $_GET/$_POST/$_COOKIE) este fundația.
Egal de important este configurația sigură: dezactivarea afișajului de erori în producție (erorile dezvăluie informații sensibile atacatorilor), păstrarea secretelor în afara codului, utilizarea HTTPS și steaguri de cookie sigure, validarea încărcărilor, și menținerea PHP și a dependențelor actualizate (deoarece pachetele vulnerabile sunt un vector de atac major).
Înțelegerea acestei abordări în straturi, defense-in-depth — și că un singur strat neglijat (o injecție, un secret dezvăluit, o ieșire neevadată, o dependență neremediată) poate compromite întregul sistem — este cunoaștere importantă și cu miză ridicată pentru orice developer PHP.
Deși framework-urile moderne (Laravel, Symfony) oferă multe protecții implicit, înțelegerea amenințărilor și practicilor subiacente este o responsabilitate esențială pentru construirea aplicațiilor sigure, ceea ce face din aceasta o temă critică și frecvent relevantă pentru PHP în producție.