Los siguientes son los puntos a considerar para hacer una aplicación php segura.
- UTILIZAR PDO o mysqli
- Nunca confíes en ninguna entrada. Considere cada variable, a saber, $_POST, $_GET, $_COOKIE, $_SESSION, $_SERVER como si estuvieran contaminadas. Utilice la medida de filtrado adecuada para estas variables.
- Para evitar el ataque XSS, use las funciones integradas de php htmlentities,strip_tags, etc. mientras inserta los datos de entrada del usuario en la base de datos.
- Desactivar Registrar Globals en PHP.INI
- Deshabilitar “allow_url_fopen” en PHP.INI
- No permita que el usuario ingrese más datos de los requeridos. Valide la entrada para permitir el número máximo de caracteres. También valide cada campo para los tipos de datos relevantes.
- Deshabilitar el informe de errores después del período de desarrollo. Podría dar información sobre la base de datos que será útil para los piratas informáticos.
- Utilice un token de tiempo al publicar un formulario. Si el token existe y coincide, la publicación del formulario es válida; de lo contrario, no es válida.
- Usar consultas de bases de datos parametrizadas
- Usar procedimientos almacenados
Puede buscar en Google cada punto para obtener más detalles. Espero que esto ayude
