Dit PHP-websted er lanceret. Tillykke! Men vent.. har du sørget for væsentlig sikkerhedshærdning?
PHP er et let, men meget kraftfuldt backend-programmeringssprog. Det driver omkring 80 % af de globale webapplikationer, hvilket gør det til et af de mest almindeligt anvendte sprog i udviklingsverdenen.
Årsagen til dens popularitet og brede brug er dens nemme kodningsstruktur og udviklervenlige funktioner. Der er en masse CMS og rammer bygget oven på PHP, og tusindvis af kendte udviklere fra hele verden er en fast del af dets fællesskab.
Et godt eksempel er WordPress.
Når PHP-applikationer implementeres på live-servere, kan den blive udsat for flere tilfælde af hacking og webangreb, hvilket gør dets webstedsdata ekstremt sårbare over for at blive stjålet. Det er et af de mest omdiskuterede emner i samfundet, hvordan man opbygger en fuldstændig sikker applikation, idet man holder styr på alle projektets kernemål.
På trods af deres bedste indsats holder udviklere sig altid på vagt over for de skjulte smuthuller, der ikke bliver bemærket, mens de udvikler en applikation. Disse smuthuller kan alvorligt kompromittere beskyttelsen af vitale webstedsdata på enhver webhosting til PHP MySQL apps, hvilket efterlader dem sårbare over for hackingforsøg.
Så denne artikel handler om nogle nyttige PHP-sikkerhedstips, som du kan bruge klogt i dine projekter. Ved at bruge disse små tips kan du sikre dig, at din applikation altid står højt på sikkerhedstjek og aldrig bliver kompromitteret af eksterne webangreb.
Indholdsfortegnelse
Cross-Site Scripting (XSS)
Cross-Site Scripting er et af de farligste eksterne angreb, der udføres ved at injicere ondsindet kode eller script på webstedet. Det kan påvirke kernerne i din applikation, da hackeren kan injicere enhver type kode i din applikation uden selv at give dig et hint. Dette angreb forekommer for det meste på de websteder, der indrømmer og indsender brugerdata.
I et XSS-angreb erstatter den indsprøjtede kode den originale kode på dit websted, men fungerer alligevel som en faktisk kode, der forstyrrer webstedets ydeevne og ofte stjæler dataene. Hackerne omgår adgangskontrollen til din applikation, får adgang til dine cookies, sessioner, historik og andre vitale funktioner.
Du kan imødegå dette angreb ved at bruge særlige HTML-tegn og ENT_QUOTES i dine applikationskoder. Ved at bruge ENT_QUOTES kan du fjerne muligheder for enkelt og dobbelt anførselstegn, som giver dig mulighed for at fjerne enhver mulighed for scripting på tværs af websteder.
Cross-Site Request Forgery (CSRF)
CSRF uddeler komplet applikationskontrol til hackerne for at udføre enhver uønsket handling. Med fuld kontrol kan hackere udføre ondsindede handlinger ved at overføre inficeret kode til dit websted, hvilket resulterer i datatyveri, funktionelle ændringer osv. Angrebet tvinger brugerne til at ændre de konventionelle anmodninger til de ændrede destruktive, som at overføre penge ubevidst, slette hele databasen uden meddelelse mv.
CSRF-angrebet kan kun påbegyndes, når du klikker på det skjulte ondsindede link sendt af hackeren. Det betyder, at hvis du er smart nok til at finde ud af de inficerede skjulte scripts, kan du nemt udelukke ethvert potentielt CSRF-angreb. I mellemtiden kan du også bruge to beskyttelsesforanstaltninger til at styrke din app-sikkerhed, dvs. ved at bruge GET-anmodningerne i din URL og sikre, at ikke-GET-anmodninger kun genereres fra din kode på klientsiden.
Sessionskapring
Sessionskapring er et angreb, hvorigennem hackeren stjæler dit sessions-id for at få adgang til den tilsigtede konto. Ved at bruge sessions-id’et kan hackeren validere din session ved at sende en anmodning til serveren, hvor et $_SESSION-array validerer dets oppetid uden at holde dig orienteret. Det kan udføres gennem et XSS-angreb eller ved at få adgang til de data, hvor sessionsdataene er gemt.
For at forhindre sessionskapring skal du altid binde dine sessioner til din faktiske IP-adresse. Denne praksis hjælper dig med at ugyldiggøre sessioner, når der opstår en ukendt overtrædelse, og giver dig straks besked om, at nogen forsøger at omgå din session for at få adgangskontrol til applikationen. Og husk altid, ikke at afsløre ID’er under nogen omstændigheder, da det senere kan kompromittere din identitet med endnu et angreb.
Forebyg SQL-injektionsangreb
Databasen er en af nøglekomponenterne i en applikation, der for det meste bliver målrettet af hackere via et SQL-injektionsangreb. Det er en type angreb, hvor hackeren bruger bestemte URL-parametre for at få adgang til databasen. Angrebet kan også udføres ved at bruge webformularfelter, hvor hackeren kan ændre data, som du sender gennem forespørgsler. Ved at ændre disse felter og forespørgsler kan hackeren få kontrol over din database og kan udføre adskillige katastrofale manipulationer, herunder at slette hele applikationsdatabasen.
For at forhindre SQL-injektionsangreb anbefales det altid at bruge parameteriserede forespørgsler. Disse PDO-forespørgsler erstatter argumenterne korrekt, før SQL-forespørgslen køres, og udelukker effektivt enhver mulighed for et SQL-injektionsangreb. Denne praksis hjælper dig ikke kun med at sikre dine SQL-forespørgsler, men gør dem også strukturerede til effektiv behandling.
Brug altid SSL-certifikater
For at få sikker datatransmission fra ende til ende over internettet, skal du altid bruge SSL-certifikater i dine applikationer. Det er en globalt anerkendt standardprotokol kendt som Hypertext Transfer Protocol (HTTPS) til at overføre data mellem serverne sikkert. Ved at bruge et SSL-certifikat får din applikation den sikre dataoverførselsvej, som næsten gør det umuligt for hackere at trænge ind på dine servere.
Alle de store webbrowsere som Google Chrome, Safari, Firefox, Opera og andre anbefaler at bruge et SSL-certifikat, da det giver en krypteret protokol til at transmittere, modtage og dekryptere data over internettet.
Skjul filer fra browseren
Der er en specifik mappestruktur i mikro-PHP-rammerne, som sikrer lagring af vigtige rammefiler som controllere, modeller, konfigurationsfilen (.yaml) osv.
Det meste af tiden behandles disse filer ikke af browseren, men alligevel bliver de ved med at blive set i browseren i en længere periode, hvilket skaber et sikkerhedsbrud for applikationen.
Så gem altid dine filer i en offentlig mappe i stedet for at opbevare dem i rodmappen. Dette vil gøre dem mindre tilgængelige i browseren og vil skjule funktionaliteterne for enhver potentiel angriber.
Konklusion
PHP-applikationer er altid sårbare over for eksterne angreb, men ved at bruge de ovennævnte tips kan du nemt sikre kernerne i din applikation mod ethvert ondsindet angreb. Som udvikler er det dit ansvar at beskytte dit websteds data og gøre det fejlfrit.
Udover disse tips kan mange teknikker hjælpe dig med at sikre din webapplikation mod eksterne angreb, såsom at bruge den bedste cloud-hostingløsning, der sikrer, at du har optimale sikkerhedsfunktioner, cloud WAF, opsætning af dokumentrod, hvidlistning af IP-adresser og mere.