آموزش امنیت php

امنیت برنامه های وب  و جلوگیری از حمله های اینترنتی وظیفه توسعه دهنده  و برنامه نویس وب است.  برنامه نویس باید برنامه های وب را از دسترس افراد غیر مجاز و هک شدن محافظت کند تا هیچگونه مشکل امنیتی پیش نیاید، بنابراین احتمال نفوذ به وب را از بین می برد.

در اکثر موارد توسعه دهندگان باید مسئولیت را خودشان به عهده بگیرند و هر کدام تلاش لازم را برای شناسایی آسیب پذیریها انجام دهند و راه حل هایی را پیشنهاد و انجام دهند.

PHP یک زبان محبوب برای توسعه وب می باشد که بسیار محبوب است که در بعضی موارد ، شرکت ها برنامه های موفقی را اجرا می کنند که در آن از کارشناسان مختلف امنیتی دعوت می کنند تا بهترین راه کار رامورد بررسی قرار دهند و بهترین روش مهم امنیتی PHP را پیشنهاد دهند.

مشکلات امنیتی در PHP

اوضاع فعلی در زبانphpبه اندازه کافی خوب نیست، اما برنامه نویسان منبع باز، تلاش زیادی برای غلبه بر مشکلات امنیتی آن دارند و ما شاهد تغییرات امنیتی زیادی در PHP هستیم. برنامه نویسی PHP سال گذشته با به روزرسانی و رفع اشکال مختلف راه اندازی شد.  بهترین مورد دربارهPHP 7.x مربوط به به روزرسانی های امنیتی است که پروتکل امنیتی زبان  phpرا دوباره اصلاح کرده است.

آموزش امنیت php شامل چه مواردی است؟

 ما مدت هاست که روی امنیت و عملکرد PHP کار می کنیم، و در انجمن PHP هستیم و از توسعه دهندگان نخبه و برتر درباره نکات و ترفندهایی که در پروژه های خود استفاده می کنند سؤال کردیم. بنابراین، هدف اصلی این آموزش امنیت php، آگاهی شما در مورد بهترین شیوه های امنیتی در برنامه های وب PHP است.  ما مشکلات زیر را تعریف می کنیم و راه حل های احتمالی را برای آنها ذکر می کنیم.

به طور مرتب PHP را به روز کنید

در حال حاضر، پایدارترین و آخرین نسخه PHP موجود PHP 7.2.8 است.  توصیه می کنیم که برنامه PHP خود را با این نسخه جدید به روز کنید.  اگر هنوز از PHP 5.6 استفاده می کنید ، در هنگام به روزرسانی برنامه های PHP ، استهلاک زیادی خواهید داشت.

همچنین لازم است که کد خود را به روز کنید و برخی از منطق های کاربردی مانند رمز عبور را تغییر دهید و همچنین برخی ابزارها برای بررسی میزان استهلاک کد شما وجود دارد و به شما در انتقال آن کمک می کند. ما برخی از ابزارها را برای شما لیست کرده ایم:

  1. PHP 7 Compatibility Checker
  2. PHP 7 MAR
  3. Phan

اگر شما از PHPStorm استفاده می کنید، می توانید از بازرسی سازگاری PHP 7 استفاده کنید، که به شما نشان می دهد که کد برای شما مشکل ایجاد می کند.

 

برنامه نویسی متقابل سایت (XSS)

برنامه نویسی وب سایت صلیب نوعی حمله وب مخرب است که در آن کد اسکریپت خارجی به کد یا خروجی وب سایت وارد می شود.  مهاجم می تواند کد آلوده را به کاربر نهایی ارسال کند در حالی که مرورگر نمی تواند آن را به عنوان یک اسکریپت قابل اعتماد تشخیص دهد.

این حمله بیشتر در مکانهایی رخ می دهد که کاربر توانایی ورود و ارسال داده را دارد.  این حمله می تواند به کوکی ها ، جلسات و سایر اطلاعات حساس در مورد مرورگر دسترسی  داشته باشد.

از گواهینامه های SSL برای امنیت بیشتر HTTPS استفاده کنید

همه مرورگرهای مدرن مانند Google Chrome ، Opera ، Firefox و…توصیه می کنند از پروتکل HTTPS برای برنامه های وب استفاده کنید. HTTP ها کانال دسترسی امن و رمزگذاری شده را برای سایتهای غیر قابل اعتماد فراهم می کند.  شما باید HTTPS را با نصب گواهی SSL در وب سایت خود وارد کنید.

همچنین برنامه های وب شما را در برابر حملات XSS محافظت و از هکرها جلوگیری می کند که داده های حمل شده را با استفاده از کدها بخوانند.  Cloudways گواهینامه های SSL رایگان را با یک کلیک فراهم می کند که به مدت ۹۰ روز اعتبار دارند و می توانید به راحتی با یک کلیک آنها را لغو یا تمدید کنید.

برنامه های PHP را روی سرور ابری مستقر کنید

میزبانی، مرحله نهایی و مهم برای هر برنامه وب است، زیرا شما همیشه این پروژه را در سرورهای PHP محلی ایجاد کرده و آنها را روی سرورهای زنده مستقر می کنید که میزبانی مشترک ، ابری یا اختصاصی را ارائه می دهند. ما همیشه توصیه می کنیم از هاست ابری مانند DigitalOcean ، Linode ، AWS استفاده کنید.

آنها برای هر نوع وب سایت و برنامه سریع ، ایمن هستند و همیشه برای جلوگیری از حمله DDOS ، Brute Force و فیشینگ ، که برای برنامه های وب بسیار مضر است ، لایه ای مطمئن ارائه می دهند.

برای استقرار برنامه های PHP بر روی سرورهای ابری، شما باید مهارت های لینوکس خوبی برای ایجاد پشته های قدرتمند وب مانند LAMP یا LEMP داشته باشید ، که اغلب برای متخصصان لینوکس به شما زمان و بودجه می دهد.

در عوض ، Cloudways تحت مدیریت PHP و MySQL پلتفرم میزبانی MySQL شما را برای پیدا کردن راهی برای استقرار سرورها با Thunderstack در چند کلیک در ارائه دهندگان ابر فوق الذکر فراهم می کند.  Thunderstack به برنامه PHP شما کمک می کند تا کاملاً از حملات مخرب مختلف محافظت شود و عملکرد بهینه را تضمین کند.

تنظیم ریشه سند

ریشه سند (ویکی پدیا) برای برنامه های PHP در هر سرور باید روی var / www / html تنظیم شود تا کاربران بتوانند از طریق مرورگر به وب سایت شما دسترسی پیدا کنند. اما در بعضی موارد، وقتی API هایی را با چهارچوب هایی مانند Laravel ، Symfony و Slim قرار دادید، باید پوشه webroot را در / / عمومی به روز کنید.

/ عمومی به خروجی برنامه شبیه به وب سایت ساده PHP با پرونده index.php می پردازد.  هدف از قرار دادن webroot بر روی var / www / html / عمومی مخفی کردن پرونده های حساس مانند .htaccess و .env است که حاوی متغیرهای محیطی و اعتبار پایگاه داده ، نامه ، API های پرداخت است.

همچنین ، فریم ورک هایی مانند Laravel ، Symfony توصیه می کنند که تمام پرونده های خود را به پوشه ریشه منتقل نکنید ، درعوض ایجاد یک ساختار دایرکتوری زیبا برای ذخیره فایل های مرتبط مانند View ، مدل ها و کنترل کننده ها یک رویکرد مناسب تر است.

امیدوارم از مقاله آموزش امنیت php لذت کافی را برده باشید.