PHP alapú alkalmazások biztonsága általában

Ha a fenti biztonsági előírásokat betartjuk, akkor kicsi a valószínűsége, hogy a PHP alapú fejlesztéseinket támadók feltörjék, de sokan használnak előre elkészített keretrendszereken alapúló website-okat, amelyeket mások fejlesztettek. Ezekben igenis lehetnek olyan beállítások, amelyek veszélyzetetik a rendszer biztonságát.

Például egyes portál motorokon a felhasználók szabadon regisztrálhatnak usernevet. Ha a portál üzemeltetője nem állítja be az ilyen módon regisztrálók jogosultságait, akkor könnyen megtörhetővé válhat a portál. Nézzünk néhány példát.

• Ha a usernek van szabad írása a portál weben elérhető könyvtáraira, és szabad neki fájlokat - nem csak képeket - feltölteni, akkor futtatható fájlok feltötésével galibákat lehet okozni.
• Ha a user adatbevitelkor nem csak html kódot vihet be, akkor a kliens javascript vagy php kódot beszúrva a bevitt szövegbe biztojnsági problémákat okozhat.
• Ha a user adatbevitelkor csak html kódot írhat be, de ebbe beleértendő a javascript kód is, akkor a felhasználónak lehetnek problémáia a XSS (=Cross-Site Scripting) jellegű támadásokkal.
• Az alkalmazások adminisztrációs felületén a default usernevet és jelszót át kell írni. A jelszó legyen eléggé erős, azaz legalább 8 karakter hosszú, legyen kis- és nagybetű, szám, és egyéb írásjel is.
• Az alkalmazások adminisztrációs könyvtárát a defaultról át kell írni megfelelően elbonyolított elérési útvonalra.
• Ha a rendszerben van captcha, akkor használjuk, mivel ez plusz nehezíti a belépés lehetőségét.