7 Tips PHP Security yang Wajib Anda ketahui
Nah, Anda sudah tahu berbagai macam jenis serangan pada keamanan PHP. Kini saatnya Anda mengetahui berbagai cara untuk meningkatkan security PHP.
Tips PHP security di bawah, kami tujukan bagi Anda yang baru saja memulai pengembangan website. Terutama bagi Anda yang masih belajar mengenai bahasa pemrograman PHP. Cara di bawah ini memang kelihatannya dasar, tapi jangan remehkan efeknya.
1. Gunakan htmlspecialchars
Untuk bisa melihat script yang mencurigakan dan menghindari Cross-Site Scripting (XSS), gunakan htmlspecialchars di kodingan PHP Anda. Ini akan membantu Anda mengubah karakter di PHP menjadi bentuk HTML. Misalnya saja:
- & (tanda “dan” atau ampersand) → &
- ” (tanda petik dua atau double quote) → "
- ‘ (tanda petik satu atau single quote) → '
- < (tanda kurang dari atau less than) → <
- > (tanda lebih dari atau greater than) → >
Anda juga bisa pakai ENT_QUOTES dalam kode website Anda. ENT_QUOTES akan mengubah karakter tanda petik tunggal dan ganda (“ dan ‘) ke dalam bentuk HTML. Dengan begitu, Anda bisa lebih mudah ketika mengecek script yang mencurigakan.
2. Simpan Session dengan IP
Untuk mencegah session hijacking, caranya Anda harus selalu menyimpan session dengan alamat IP khusus yang sering Anda gunakan. Caranya, tambahkan kode ini ke dalam script Anda.
$IP = getenv ( "REMOTE_ADDR" );Cara ini dapat membantu Anda untuk membatalkan session setiap kali ada request yang mencurigakan dan tanpa sepengetahuan Anda. Kode di atas juga akan memberikan informasi bahwa seseorang mencoba untuk mengakses session Anda.
3. Gunakan PHP Data Objects (PDO)
Untuk menghindari SQL injection attacks, Anda harus menggunakan PHP Data Objects atau PDO. PDO adalah ekstensi tambahan yang membantu Anda mengakses database secara aman. Tidak peduli jenis database yang Anda gunakan.
Namun, PDO ini tidak bisa digunakan untuk mengedit SQL atau menambahkan fitur tertentu. Tapi justru karena itulah, Anda bisa menghindari serangan SQL injection.
4. Sembunyikan File dari Browser
Framework PHP yang memakai arsitektur MVC (Model View Controller), Laravel atau CodeIgniter misalnya, memiliki tampilan direktori file yang terstruktur. Tidak semua file tersebut akan diproses oleh browser. Akan tetapi, file tersebut masih bisa dilihat.
Di sinilah, masalahnya. Kebanyakan developer awam meletakan semua file website pada direktori root. Ini mempermudah peretas untuk membobol data penting website. Karena browser dapat melihat semua file tersebut, sehingga peretas akan mudah untuk memasukkan kode/skrip berbahaya ke dalam website Anda.
Solusinya, pindahkan file dari folder root ke dalam folder public server. Tujuannya, agar web browser tidak mudah melihat file penting dari website.
5. Pengaturan Root Document
Root dokumen untuk aplikasi PHP di server apa pun harus diatur ke dalam direktori /var/www/html sehingga pengguna dapat mengakses situs web Anda melalui browser. Tetapi dalam beberapa kasus, saat Anda mengembangkan API dengan framework seperti Laravel dan CodeIgniter Anda perlu memperbarui webroot ke folder /public.
Tujuan untuk mengatur webroot ke var/www/html/public adalah untuk menyembunyikan file sensitif seperti .htaccess dan .env yang memuat environment variables, akses database, email, API pembayaran, dan lain-lain.
6. Selalu gunakan SSL
Semua web browser modern seperti Google Chrome, Firefox, Opera, dan lainnya, selalu merekomendasikan untuk menggunakan protokol HTTPS untuk website. Karena HTTPS menyediakan protokol akses yang aman dan terenkripsi untuk situs yang tidak dipercaya.
Sertifikat ssl juga memperkuat website Anda terhadap serangan XSS dan mencegah peretas untuk menyisipkan kode ke dalam website Anda. Untuk mendapatkan sertifikat SSL Anda dapat mengikuti panduan pada artikel ssl gratis yang ada di blog kami.
7. Update PHP secara teratur
Saat ini, versi PHP paling stabil dan terbaru yang tersedia adalah PHP 7.4.5. Saya sarankan Anda harus memperbarui website Anda untuk menggunakan versi PHP yang terbaru.
Apabila Anda masih menggunakan PHP 5.6 maka Anda akan memiliki banyak masalah saat melakukan update PHP. Karena Anda juga perlu memperbarui kode website Anda dan mengubah beberapa logika function seperti password hashing dan lain-lain.
Jika Anda menggunakan PHPStorm maka Anda dapat menggunakan PHP 7 Compatibility Inspection, yang akan menunjukkan kepada Anda kode mana yang menyebabkan Error.
No comments:
Post a Comment