Bezpieczeństwo w PHP i SQL – najlepsze praktyki

Dlaczego bezpieczeństwo jest kluczowe?

Brak ochrony kodu prowadzi do wycieków danych, ataków i problemów z zaliczeniem INF.03. Na egzaminie praktycznym musisz stosować bezpieczne praktyki – w szkole i w realnych projektach!

Prepared statements – jak działa bezpieczne zapytanie?

$stmt = $mysqli->prepare("SELECT * FROM uzytkownicy WHERE email = ?");
$stmt->bind_param("s", $email);
$stmt->execute();
        

Walidacja i filtrowanie danych wejściowych

• Stosuj funkcje filter_var() do e-maila, adresu, liczb
• Usuń lub zamień potencjalnie groźne znaki (np. htmlspecialchars() w formularzach)
• Sprawdzaj długość, typ i format danych zanim wpiszesz do bazy

Atak SQL Injection – jak go wykryć?

$sql = "SELECT * FROM uzytkownicy WHERE email = '$email'";
        

Ochrona przed XSS (Cross Site Scripting)

• Filtrowanie wszystkich danych wyświetlanych na stronie — zamieniaj znaki specjalne (<, >, & itd)
• Waliduj komunikaty, nicki, komentarze oraz dowolny tekst od użytkownika
• Używaj htmlspecialchars() do wyświetlania zawartości z bazy

Bezpieczne sesje i logowanie użytkownika

1. Używaj session_start() zawsze na górze pliku
2. Przechowuj jak najmniej danych w sesji, nie “hasło”!
3. Regeneruj identyfikator sesji po zalogowaniu session_regenerate_id()
4. Ustal limit ważności sesji (np. 30 minut nieaktywności)

Podsumowanie dobrych praktyk

• Koduj zawsze podejrzliwie – bierz pod uwagę atakującego
• Testuj swoje rozwiązania na dane “kreatywne” (np. dziwne znaki, duże liczby, puste pole)
• Twórz backupy bazy – regularnie, automatycznie
• Czytaj komunikaty błędów, nie wyświetlaj ich użytkownikowi (“Wewnętrzny błąd”, “brak dostępu” – OK, ale nie “Kod: 1049”)