6 Petua Keselamatan Penting untuk Melindungi Laman PHP Anda dari Penggodam

Laman web PHP anda dilancarkan. Tahniah! Tetapi tunggu .. adakah anda menjaga keselamatan yang penting?


PHP adalah bahasa pengaturcaraan backend yang ringan namun sangat kuat. Ini menguasai sekitar 80% aplikasi web global, menjadikannya salah satu bahasa yang paling sering digunakan di dunia pembangunan.

Sebab populariti dan penggunaannya yang luas adalah struktur pengkodan yang mudah dan fungsi mesra pemaju. Terdapat banyak CMS dan kerangka kerja yang dibina di atas PHP dan beribu-ribu pembangun terkenal dari seluruh dunia adalah bahagian tetap komuniti mereka.

Salah satu contoh hebat ialah WordPress.

Ketika aplikasi PHP disebarkan di pelayan langsung, aplikasi tersebut mungkin menghadapi beberapa kejadian peretasan dan serangan web, yang membuat data laman webnya sangat rentan untuk dicuri. Ini adalah salah satu topik yang paling diperdebatkan dalam masyarakat, iaitu bagaimana membina aplikasi yang benar-benar selamat, dengan memeriksa semua objektif utama projek.

Walaupun usaha terbaik mereka, pemaju selalu berhati-hati dengan celah tersembunyi yang tidak disedari semasa mengembangkan aplikasi. Kekurangan ini secara serius boleh menjejaskan perlindungan data laman web penting pada mana-mana hosting web untuk PHP MySQL aplikasi, menjadikannya rentan kerana percubaan penggodaman.

Jadi, artikel ini adalah mengenai beberapa petua keselamatan PHP berguna yang boleh anda gunakan dengan bijak dalam projek anda. Dengan menggunakan petua kecil ini, anda dapat memastikan bahawa aplikasi anda sentiasa mendapat pemeriksaan keselamatan dan tidak akan terganggu oleh serangan web luaran.

Skrip Merentas Tapak (XSS)

Cross-Site Scripting adalah salah satu serangan luar yang paling berbahaya yang dilakukan dengan memasukkan kod atau skrip jahat ke dalam laman web. Ini boleh mempengaruhi inti aplikasi anda, kerana penggodam dapat memasukkan jenis kod apa pun ke dalam aplikasi anda tanpa memberi petunjuk. Serangan ini kebanyakannya berlaku di laman web yang mengakui dan menghantar data pengguna.

Dalam serangan XSS, kod yang disuntikkan menggantikan kod asal laman web anda, namun berfungsi sebagai kod sebenar yang mengganggu prestasi laman web dan sering mencuri data. Penggodam memotong kawalan akses aplikasi anda, mendapatkan akses ke kuki, sesi, sejarah, dan fungsi penting anda yang lain.

Anda boleh mengatasi serangan ini dengan menggunakan watak khas HTML & ENT_QUOTES dalam kod aplikasi anda. Dengan menggunakan ENT_QUOTES, anda dapat membuang pilihan kutipan tunggal dan ganda, yang membolehkan anda membersihkan kemungkinan serangan skrip silang laman web..

Pemalsuan Permintaan Merentas Tapak (CSRF)

CSRF memberikan kawalan aplikasi yang lengkap kepada penggodam untuk melakukan tindakan yang tidak diingini. Dengan kawalan sepenuhnya, penggodam dapat melakukan operasi jahat dengan memindahkan kod yang dijangkiti ke laman web anda, mengakibatkan pencurian data, pengubahsuaian fungsional, dan lain-lain. Serangan tersebut memaksa pengguna untuk menukar permintaan konvensional kepada yang merosakkan yang diubah, seperti memindahkan dana tanpa disedari, menghapus keseluruhan pangkalan data tanpa pemberitahuan, dll.

Serangan CSRF hanya dapat dilakukan setelah anda mengklik pada pautan jahat yang menyamar yang dikirim oleh penggodam. Ini bermakna bahawa jika anda cukup pintar untuk mengetahui skrip tersembunyi yang dijangkiti, anda dapat dengan mudah menolak kemungkinan serangan CSRF. Sementara itu, anda juga boleh menggunakan dua langkah perlindungan untuk memperkuat keselamatan aplikasi anda, iaitu dengan menggunakan permintaan GET di URL anda dan memastikan permintaan bukan GET hanya dihasilkan dari kod sisi pelanggan anda.

Rampasan Sesi

Rampasan sesi adalah serangan di mana penggodam mencuri ID sesi anda untuk mendapatkan akses ke akaun yang dimaksudkan. Dengan menggunakan ID sesi itu, penggodam dapat mengesahkan sesi anda dengan mengirimkan permintaan ke pelayan, di mana array $ _SESSION mengesahkan waktu operasinya tanpa menyimpan pengetahuan anda. Ia dapat dilakukan melalui serangan XSS atau dengan mengakses data tempat data sesi disimpan.

Untuk mengelakkan rampasan sesi, selalu mengikat sesi anda ke alamat IP sebenar anda. Amalan ini membantu anda membatalkan sesi apabila berlaku pelanggaran yang tidak diketahui, dengan segera memberitahu anda bahawa seseorang sedang berusaha untuk melewati sesi anda untuk mendapatkan kawalan akses aplikasi. Dan selalu ingat, jangan mendedahkan ID dalam keadaan apa pun, kerana kemudian dapat menjejaskan identiti anda dengan serangan lain.

Mencegah Serangan Suntikan SQL

Pangkalan data adalah salah satu komponen penting dari aplikasi yang kebanyakannya menjadi sasaran penggodam melalui serangan suntikan SQL. Ini adalah jenis serangan di mana penggodam menggunakan parameter URL tertentu untuk mendapatkan akses ke pangkalan data. Serangan juga dapat dilakukan dengan menggunakan bidang formulir web, di mana penggodam dapat mengubah data yang Anda lalui melalui pertanyaan. Dengan mengubah bidang dan pertanyaan tersebut, penggodam dapat mengawal pangkalan data anda dan dapat melakukan beberapa manipulasi yang sangat buruk, termasuk menghapus keseluruhan pangkalan data aplikasi.

Untuk mengelakkan serangan suntikan SQL, selalu disarankan untuk menggunakan pertanyaan parameter. Pertanyaan PDO ini menggantikan argumen dengan betul sebelum menjalankan pertanyaan SQL, dengan berkesan menolak kemungkinan serangan suntikan SQL. Amalan ini bukan sahaja dapat membantu anda mendapatkan pertanyaan SQL anda tetapi juga menjadikannya tersusun untuk pemprosesan yang cekap.

Sentiasa Gunakan Sijil SSL

Untuk mendapatkan penghantaran data selamat dari hujung ke hujung melalui internet, selalu gunakan sijil SSL dalam aplikasi anda. Ini adalah protokol standard yang diiktiraf secara global yang dikenali sebagai Hypertext Transfer Protocol (HTTPS) untuk menghantar data antara pelayan dengan selamat. Dengan menggunakan sijil SSL, aplikasi anda mendapat jalan pemindahan data yang selamat, yang hampir tidak memungkinkan penggodam mengganggu pelayan anda.

Semua penyemak imbas web utama seperti Google Chrome, Safari, Firefox, Opera, dan lain-lain mengesyorkan menggunakan sijil SSL, kerana ia menyediakan protokol yang dienkripsi untuk menghantar, menerima, dan menyahsulitkan data melalui internet.

Sembunyikan Fail dari Penyemak Imbas

Terdapat struktur direktori khusus dalam kerangka PHP mikro, yang memastikan penyimpanan fail kerangka penting seperti pengawal, model, fail konfigurasi (.yaml), dll..

Selalunya, fail ini tidak diproses oleh penyemak imbas, namun fail tersebut terus dilihat di penyemak imbas untuk jangka masa yang lebih lama, sehingga menyebabkan pelanggaran keselamatan untuk aplikasi.

Oleh itu, selalu simpan fail anda di folder awam, dan bukannya menyimpannya di direktori root. Ini akan menjadikan mereka kurang mudah diakses di penyemak imbas dan akan menyembunyikan fungsi dari mana-mana penyerang yang berpotensi.

Kesimpulannya

Aplikasi PHP selalu rentan terhadap serangan luaran, tetapi dengan menggunakan petua yang disebutkan di atas, anda dapat dengan selamat melindungi inti aplikasi anda dari serangan berbahaya. Sebagai pemaju, adalah tanggungjawab anda untuk melindungi data laman web anda dan menjadikannya bebas dari kesilapan.

Selain petua ini, banyak teknik dapat membantu anda mengamankan aplikasi web anda dari serangan luaran, seperti menggunakan penyelesaian hosting awan terbaik yang memastikan anda mempunyai ciri keselamatan yang optimum, cloud WAF, penyediaan root dokumen, alamat IP yang disenaraikan, dan banyak lagi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map