Voici les points à prendre en compte pour rendre l'application php sûre.
- UTILISER PDO ou mysqli
- Ne faites jamais confiance aux entrées. Considérez chaque variable à savoir $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER comme si elles étaient entachées. Utilisez une mesure de filtrage appropriée pour ces variables.
- Pour éviter les attaques XSS, utilisez les fonctions intégrées de php htmlentities,strip_tags, etc. tout en insérant les données d'entrée de l'utilisateur dans la base de données.
- Désactiver les registres globaux dans PHP.INI
- Désactiver "allow_url_fopen" dans PHP.INI
- N'autorisez pas l'utilisateur à saisir plus de données que nécessaire. Validez l'entrée pour autoriser le nombre maximum de caractères. Validez également chaque champ pour les types de données pertinents.
- Désactiver le rapport d'erreur après la période de développement. Cela pourrait donner des informations sur la base de données qui seront utiles aux pirates.
- Utilisez un jeton unique lors de la publication d'un formulaire. Si le jeton existe et correspond, la publication du formulaire est valide, sinon non valide.
- Utiliser des requêtes de base de données paramétrées
- Utiliser des procédures stockées
Vous pouvez google pour chaque point pour plus de détails. J'espère que cela aide
