A seguir estão os pontos a serem considerados para tornar o aplicativo PHP seguro.
- USE PDO ou mysqli
- Nunca confie em nenhuma entrada. Considere cada variável como $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER como se estivessem contaminadas. Use a medida de filtragem apropriada para essas variáveis.
- Para evitar o ataque XSS, use as funções internas do php htmlentities,strip_tags, etc, enquanto insere os dados de entrada do usuário no banco de dados.
- Desabilitar Registrar Globals no PHP.INI
- Desabilitar “allow_url_fopen” no PHP.INI
- Não permita que o usuário insira mais dados do que o necessário. Valide a entrada para permitir o número máximo de caracteres. Valide também cada campo para tipos de dados relevantes.
- Desative o relatório de erros após o período de desenvolvimento. Pode fornecer informações sobre o banco de dados que serão úteis para hackers.
- Use um token de uso único ao postar um formulário. Se o token existir e corresponder, a postagem do formulário é válida, caso contrário, inválida.
- Usar consultas de banco de dados parametrizadas
- Usar procedimentos armazenados
Você pode pesquisar cada ponto no Google para obter mais detalhes. ESPERO que isso ajude
