از آنجایی که PHP  به عبارتی ستون فقرات دربسیاری از هر وب سایت ها است، بنابراین، امنیت PHP را نباید به هر قیمتی نادیده گرفت

گفته می شود PHP قدرتمندترین زبان سمت سرور است، PHP از 80 درصد وب سایت های جهان با 10 میلیون از برترین دامنه ها استفاده می کند. به همین دلیل، باید درک کنید که PHP به شما کمک می کند تا در برابر مهاجمان از سایت محافظت کنید. ایمن سازی برنامه های کاربردی وب از انواع حملات جعلی، وظیفه نهایی یک توسعه دهنده وب است. شما باید برنامه های وب خود را به اندازه کافی دارای امنیت بسازید که هیچ مشکل امنیتی یا حفره ای نداشته باشید .

PHP پر استفاده ترین زبان برنامه نویسی وب سمت سرور در سراسر جهان است. برنامه های مختلف PHP بخش های مختلفی از کد و اسکریپت های خود را با سایر برنامه های کاربردی وب به اشتراک می گذارند. در صورتی که کد اشتراک‌گذاری شده آسیب‌پذیر تشخیص داده شود، همه برنامه‌هایی که از آن قطعه کد مشترک استفاده می‌کنند در معرض خطر قرار می‌گیرند و آسیب‌پذیر در نظر گرفته می‌شوند.

جدول محتویات

  • مسائل امنیتی در PHP
  • CMS PHP چقدر امن است
  • این آموزش امنیت PHP شامل چه چیزی است؟
  • بهترین روش برای امنیت PHP
  • PHP را به طور منظم به روز کنید
  • اسکریپت بین سایتی (XSS)
  • حملات تزریق SQL
  • جعل درخواست متقابل سایت XSRF/CSRF
  • ربودن Session
  • مخفی کردن فایل ها از مرورگر
  • به طور ایمن فایل ها را آپلود کنید
  • از گواهینامه های SSL برای HTTPS استفاده کنید
  • استقرار برنامه های PHP روی ابرها
  • تنظیم پوشه root
  • همه خطاها را ثبت کنید و نمایش آنها را غیرفعال کنید
  • IPهایعمومی برای Mysql را در وایت لیست قرار دهید.
  • بسته شدن!

PHP بیشترین انتقاد را میان زبان های برنامه نویسی در رابطه با امنیت دارد. تعداد زیادی از توسعه دهندگان و کارشناسان QA فکر می کنند PHP هیچ تکنیک قوی برای ایمن سازی برنامه ها ندارد. این نظریه نیز زمینه ای دارد زیرا PHP قدیمی ترین و پرکاربردترین زبان برای توسعه برنامه های وب است. البته اینطور نیست و این مقاله در این زمینه کمک زیادی به ما خواهد کرد.

مسائل امنیتی در PHP CMS

CMS های محبوبی مانند وردپرس، جوملا، مجنتو و دروپال با PHP ساخته شده اند و طبق گفته Sucuri، بیشتر آسیب پذیری های PHP CMS در سال 2017 آشکار شد:

  • مسائل امنیتی وردپرس از 74 درصد در سه ماهه سوم سال 2016 به 83 درصد در سال 2017 افزایش یافت
  • . مسائل امنیتی جوملا از 17 درصد در سه ماهه سوم 2016 به 13.1 درصد در سال 2017 کاهش یافته است
  • . مسائل امنیتی مجنتو از 6 درصد در سه ماهه سوم 2016 به 6.5 درصد در سال 2017 افزایش یافت.
  • مسائل امنیتی دروپال اندکی از 2 درصد در سه ماهه سوم 2016 به 1.6 درصد در سال 2017 کاهش یافت.

وضعیت فعلی به اندازه کافی خوب نیست، اما به لطف مشارکت کنندگان منبع باز، که سخت در تلاش برای غلبه بر مشکلات هستند و اخیراً شاهد تغییرات شدیدی در PHP بوده ایم. PHP 7.x در سال های گذشته با به روز رسانی ها و اصلاحات مختلف راه اندازی شد. بهترین چیز در مورد PHP 7.x مربوط به ارتقاء امنیتی است که واقعاً پروتکل امنیتی زبان را اصلاح کرده است.

PHP چقدر امن است

در نظر داشته باشیدPHP به اندازه هر زبان اصلی دیگر و همینطور زبان اصلی سمت سرور امن است. با چارچوب‌ها و ابزارهای جدید PHP که در چند سال گذشته معرفی شده‌اند، اکنون مدیریت امنیت

اکنون مدیریت امنیت درجه یک آسان‌تر از همیشه شده است.

این آموزش امنیت PHP شامل چه چیزی است؟

مدت زیادی است که بر روی مسائل امنیتی و عملکرد PHP کار شده است و از توسعه دهندگان برتر در مورد نکات و ترفندهایی که در پروژه های زنده خود استفاده می کنند سؤال شده است.

بنابراین، هدف اصلی این آموزش امنیت ,PHP این است که شما را در مورد بهترین شیوه ها برای امنیت در برنامه های کاربردی وب PHP آگاه کند. مشکلات زیر را تعریف کرده و راه حل های ممکن برای آنها ذکر شده است.

  • PHP را به طور منظم به روز کنید
  • برنامه نویسی متقابل سایت (XSS)
  • حملات تزریق SQL
  • جعل درخواست متقابل سایت XSRF/CSRF
  • ربودن Session
  • مخفی کردن فایل ها از مرورگر
  • به طور ایمن فایل ها را آپلود کنید
  • از گواهینامه های SSL برای HTTP ها استفاده کنید
  • استقرار برنامه های PHP روی ابرها

بهترین روش امنیت PHP

در هنگام ایجاد یک برنامه وب PHP، یک مهندس وب باید به بهترین شیوه های امنیتی توجه داشته باشد. یک برنامه وب ناامن به هکرها این فرصت را می دهد که داده های ارزشمندی مانند اطلاعات مشتری یا جزئیات کارت اعتباری را دریافت کنند. علاوه بر این، نقض داده ها ممکن است تأثیر شدیدی بر اعتبار و عملیات آینده سازمان شما داشته باشد.

  PHP را به طور منظم به روز کنید

در حال حاضر، پایدارترین و آخرین نسخه PHP موجود، PHP 8 است. من توصیه می کنم که حتما برنامه PHP خود را به این نسخه جدید به روز کنید. اگر هنوز از PHP 5.6 یا 7 استفاده می‌کنید، در حین ارتقاء برنامه‌های PHP، موارد منسوخ شده زیادی خواهید داشت. همچنین باید کد خود را به روز کنید و برخی از منطق های کاربردی مانند هش رمز عبور و غیره را تغییر دهید. همچنین ابزارهایی برای بررسی قدیمی بودن کد شما و کمک به شما در انتقال آن ها وجود دارد. من برخی از ابزارها را در زیر لیست کرده ام:

  • PHP Compatibility Checker
  • PHP MAR
  • phan

اگر از PHPStorm استفاده می‌کنید، می‌توانید از PHP 7 Compatibility Inspection استفاده کنید، که به شما نشان می‌دهد کدام کد برای شما مشکل ایجاد می‌کند.

طبقه بندی شده در:

عمومی,

آخرین به روز رسانی: 5 شهریور 1403