安全なPHPアプリケーションを作成するために考慮すべき点は次のとおりです。
- PDOまたはmysqliを使用する
- 入力を絶対に信用しないでください。すべての変数、つまり$ _POST、$ _ GET、$ _ COOKIE、$ _ SESSION、$_SERVERを汚染されているかのように考えます。これらの変数には適切なフィルタリング手段を使用してください。
- XSS攻撃を回避するには、ユーザー入力データをデータベースに挿入するときに、phpの組み込み関数htmlentities、strip_tagsなどを使用します。
- PHP.INIでグローバルレジスタの登録を無効にする
- PHP.INIで「allow_url_fopen」を無効にする
- ユーザーが必要以上のデータを入力できないようにします。入力を検証して、最大文字数を許可します。また、関連するデータ型について各フィールドを検証します。
- 開発期間後のエラー報告を無効にします。ハッカーに役立つデータベースに関する情報を提供する可能性があります。
- フォームの投稿中にワンタイムトークンを使用します。トークンが存在し、フォームの投稿と一致する場合は有効です。それ以外の場合は無効です。
- パラメータ化されたデータベースクエリを使用する
- ストアドプロシージャを使用する
詳細については、各ポイントをグーグルで検索できます。これが役立つことを願っています