PHP-säkerhet handlar om att försvara sig mot vanliga webbutsattningar (OWASP Top 10) på varje nivå — inmatningshantering, databasåtkomst, utmatning, autentisering och konfiguration. Eftersom PHP driver så mycket av webben är dessa praktiker kritiska.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escapa användarstyrda data vid utmatning (htmlspecialchars) så att injicerad HTML/JS inte kan köras. (Mallmotorer som Twig/Blade escapar automatiskt.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
PHPs inbyggda password_hash/password_verify använder starka, saltade, långsamma algoritmer — det rätta sättet att lagra lösenord.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Säkerhet är kritisk för PHP-applikationer, och att förstå dessa praktiker är essentiellt — eftersom PHP driver en enorm del av webben är PHP-applikationer konstanta attackmål, och säkerhetshaveri kan vara katastrofala (dataintrång, kontokompromiss, skadegörelse).
PHP åtgärdar de vanligaste och farligaste webbutsattningarna, men till skillnad från vissa ramverk beror mycket på att utvecklaren följer korrekta praktiker.
De oundvikliga väsentligheterna: förberedda SQL-satser förhindrar SQL-injicering (en av de vanligaste och mest förödande attackerna), utmatningsescapning (htmlspecialchars) förhindrar XSS, password_hash/password_verify säkerställer säker lösenordslagring (aldrig klartext/svaga hashningar), CSRF-tokens skyddar tillståndsändringsbegäranden, och grundlig inmatningsvalidering (aldrig förlita sig på $_GET/$_POST/$_COOKIE) är grunden.
Lika viktigt är säker konfiguration: att stänga av felvisning i produktion (fel läcker känslig info till angripare), att hålla hemligheter utanför koden, att använda HTTPS och säkra cookie-flaggor, att validera uppladdningar, och att hålla PHP och beroenden uppdaterade (eftersom sårbara paket är en stor attackvektor).
Att förstå denna skiktade, försvarsmycke-i-djup-strategi — och att ett enda förbisett lager (en injicering, en läckt hemlighet, en oescapad utmatning, ett opatchat beroende) kan kompromissa hela systemet — är viktig, högarisk kunskap för alla PHP-utvecklare.
Även om moderna ramverk (Laravel, Symfony) ger många skydd som standard är det en väsentlig ansvar att förstå de underliggande hoten och praktikerna för att bygga säkra applikationer, vilket gör detta till ett kritiskt, ofta relevant ämne för produktion-PHP.