Bảo mật PHP nghĩa là phòng thủ trước các lỗ hổng web phổ biến (OWASP Top 10) ở mọi tầng — xử lý input, truy cập cơ sở dữ liệu, output, xác thực và cấu hình. Vì PHP vận hành phần lớn web, những thực hành này là then chốt.
->( . []);
= ->();
->([[]]);
// ❌ in input thô của người dùng → XSS (script chèn vào chạy trong trình duyệt)
echo $_GET['name'];
// ✅ escape output cho ngữ cảnh HTML
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Escape dữ liệu do người dùng kiểm soát khi xuất (htmlspecialchars) để HTML/JS chèn vào không thể chạy. (Các template engine như Twig/Blade tự động escape.)
// ✅ dùng password_hash (bcrypt/argon2) — không bao giờ plaintext, không bao giờ MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// xác minh:
if (password_verify($input, $hash)) { /* mật khẩu đúng */ }
Hàm dựng sẵn password_hash/password_verify của PHP dùng các thuật toán mạnh, có salt, chậm — cách đúng để lưu mật khẩu.
// sinh một token, lưu trong session, đưa vào form, xác minh khi submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// xác minh khi POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // ép kiểu/whitelist
// không bao giờ tin $_GET/$_POST/$_COOKIE — validate mọi thứ
✓ display_errors=Off ở production (đừng lộ stack trace/nội bộ cho người dùng — hãy log)
✓ Giữ bí mật trong biến môi trường / cấu hình ngoài web root, KHÔNG trong code/git
✓ Dùng HTTPS; đặt các cờ cookie secure/httponly/samesite
✓ Luôn CẬP NHẬT PHP và các phụ thuộc (composer audit để tìm gói có lỗ hổng)
✓ Validate file upload (kiểu, kích thước); lưu ngoài web root
✓ Dùng một framework được bảo trì (Laravel/Symfony) — chúng xử lý nhiều bảo vệ theo mặc định
Bảo mật là then chốt cho ứng dụng PHP, và hiểu những thực hành này là thiết yếu — vì PHP vận hành một phần khổng lồ của web, ứng dụng PHP là mục tiêu tấn công thường trực, và thất bại bảo mật có thể thảm khốc (rò rỉ dữ liệu, chiếm tài khoản, làm hỏng giao diện).
PHP giải quyết các lỗ hổng web phổ biến và nguy hiểm nhất, nhưng khác một số framework, phần lớn phụ thuộc vào việc lập trình viên tuân theo thực hành đúng.
Những điều thiết yếu không thể thương lượng: prepared statement ngăn SQL injection (một trong những tấn công phổ biến và tàn khốc nhất), escape output (htmlspecialchars) ngăn XSS, password_hash/password_verify đảm bảo lưu mật khẩu an toàn (không bao giờ plaintext/hash yếu), token CSRF bảo vệ các request thay đổi trạng thái, và validate input nghiêm ngặt (không bao giờ tin $_GET/$_POST/$_COOKIE) là nền tảng.
Quan trọng không kém là cấu hình an toàn: tắt hiển thị lỗi ở production (lỗi làm lộ thông tin nhạy cảm cho kẻ tấn công), giữ bí mật khỏi code, dùng HTTPS và các cờ cookie an toàn, validate upload, và luôn cập nhật PHP cùng các phụ thuộc (vì các gói có lỗ hổng là một hướng tấn công lớn).
Hiểu cách tiếp cận phòng thủ theo lớp, phòng thủ chiều sâu này — và rằng một lớp bị bỏ sót (một injection, một bí mật bị lộ, một output không escape, một phụ thuộc chưa vá) có thể làm tổn hại cả hệ thống — là kiến thức quan trọng, mức độ rủi ro cao cho mọi lập trình viên PHP.
Dù các framework hiện đại (Laravel, Symfony) cung cấp nhiều bảo vệ theo mặc định, hiểu các mối đe dọa và thực hành bên dưới là trách nhiệm thiết yếu để xây ứng dụng an toàn, khiến đây là một chủ đề then chốt, thường xuyên liên quan cho PHP production.