Bezpečnostné praktiky v PHP

Bezpečnosť webových aplikácií je kľúčová, najmä ak pracujete s citlivými údajmi. PHP je výkonný jazyk na tvorbu dynamických webov, no bez správnych bezpečnostných opatrení sa vaša aplikácia môže stať cieľom hackerov. V tomto článku sa pozrieme na hlavné bezpečnostné hrozby v PHP a ukážeme si, ako ich efektívne eliminovať.

Čo sú bezpečnostné praktiky v PHP?

Bezpečnostné praktiky sú metódy, ktoré pomáhajú predchádzať útokom, ochrane dát a zabezpečeniu integrity aplikácie. Tieto opatrenia zahŕňajú správnu validáciu vstupov, ochranu pred SQL injection, XSS útokmi a bezpečné ukladanie hesiel.

Aký má bezpečnosť v PHP praktický význam?

Dodržiavanie bezpečnostných zásad v PHP pomáha:

1. Ochrana pred SQL Injection

SQL Injection je jedna z najčastejších bezpečnostných hrozieb, pri ktorej útočník vkladá škodlivý SQL kód do formulára alebo URL.

Nesprávne:

<?php
$conn = new mysqli("localhost", "root", "", "databaza");
$meno = $_GET["meno"];
$sql = "SELECT * FROM uzivatelia WHERE meno = '$meno'";
$result = $conn->query($sql);
?>

Ak útočník zadá do poľa meno hodnotu ' OR 1=1 --, môže získať prístup k celej databáze.

Správne riešenie: Použitie pripravených dotazov

<?php
$stmt = $conn->prepare("SELECT * FROM uzivatelia WHERE meno = ?");
$stmt->bind_param("s", $meno);
$stmt->execute();
?>

Pripravené SQL dotazy eliminujú možnosť vkladania škodlivého kódu do databázy.

2. Ochrana pred XSS útokmi

Cross-Site Scripting (XSS) umožňuje útočníkom vkladať škodlivý JavaScript kód do aplikácie.

Nesprávne:

<?php
echo "Vitaj, " . $_GET["meno"];
?>

Správne riešenie: Použitie htmlspecialchars()

<?php
echo "Vitaj, " . htmlspecialchars($_GET["meno"], ENT_QUOTES, 'UTF-8');
?>

Tento spôsob konvertuje špeciálne znaky na bezpečné HTML entity.

3. Bezpečné ukladanie hesiel

Ukladanie hesiel v čitateľnom texte je obrovská bezpečnostná hrozba.

Online kurz programovania v Jave

Programovanie nie je ťažké! Kódenie vlastných appiek v nástroji Java je veľká zábava. Do konca leta programujete vy sami alebo vaše bystré deti svoje prvé appky

Prvá hodina zadarmo!

7dňová výzva programovania Webu

Budete vedieť vytvárať pekné weby koncom budúceho týždňa? Áno, dá sa to! Radi vám s tým pomôžeme. Stačí prijať Sedemdňovú výzvu a rezervovať si tento kurz

Prvá hodina zadarmo!

Nesprávne:

<?php
$password = "tajneheslo";
$hash = md5($password);
?>

MD5 a SHA1 sú zastarané a ľahko prelomené metódy hashovania.

Správne riešenie: Použitie password_hash()

<?php
$hash = password_hash("tajneheslo", PASSWORD_DEFAULT);
?>

Tento spôsob využíva bezpečný algoritmus bcrypt a je odolný voči útokom.

4. Použitie HTTPS

Vždy používajte HTTPS protokol na ochranu prenášaných údajov.

Nastavenie v PHP:

<?php
if (!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on') {
    header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    exit;
}
?>

5. Ochrana proti CSRF útokom

Cross-Site Request Forgery (CSRF) umožňuje útočníkovi vykonávať neoprávnené požiadavky v mene používateľa.

Správne riešenie: Použitie CSRF tokenov

<?php
session_start();
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (!isset($_POST["token"]) || $_POST["token"] !== $_SESSION["token"]) {
        die("Neplatný CSRF token.");
    }
}
$_SESSION["token"] = bin2hex(random_bytes(32));
?>

Najčastejšie otázky

1. Ako zabrániť SQL injection?

Používajte pripravené SQL dotazy (prepare() a bind_param()).

2. Prečo je md5() a sha1() nebezpečné?

Obe hashovacie funkcie sú zastarané a ľahko prelomené pomocou rainbow tables.

3. Ako môžem zabezpečiť formuláre?

Používajte validáciu údajov, htmlspecialchars() a CSRF tokeny.

Top 5 zaujímavých faktov o bezpečnosti v PHP

  1. SQL Injection je stále najčastejšou zraniteľnosťou v PHP aplikáciách.
  2. Viac ako 80 % webových stránok používa neaktuálne verzie PHP, čo zvyšuje riziko útokov.
  3. Najlepší spôsob na ochranu hesiel je použitie password_hash() s bcrypt algoritmom.
  4. XSS útoky sú častejšie ako SQL Injection a môžu byť veľmi nebezpečné.
  5. Použitie HTTPS je nevyhnutné, pretože chráni údaje pred odpočúvaním a MITM útokmi.

Chcete sa naučiť PHP bezpečne?

Ak máte záujem o prezenčné alebo online školenie programovania v PHP, pozrite si našu ponuku na www.like-it.sk. Naše kurzy vedú skúsení odborníci, ktorí vám pomôžu zvládnuť základy aj pokročilé koncepty programovania.

Kurz UML - Základy jazyka UML v nástroji Enterprise Architect

Kurz JAVASE1 - Programovanie v JAVA SE: Syntax Jazyka JAVA

Ako začať programovať?

Úvod do programovania pre každého bez prechádzajúcich znalostí.

Stiahnite si náš ebook teraz výnimočne zdarma!!!

STIAHNÚT TERAZ
Ebook programovanie

Viac informacií preberáme na kurze:

Kurz PHPMYSQLAJAX - Tvorba webových stránok od základov v PHP a MySQL

Marián Knězek

 

Súvisiace články: