PHP og sikker kode

En selvmotsigelse?

register_globals

Ikke et sikkerhetsproblem i seg selv, men gjorde det veldig å introdusere bugs. (eksempel)
Er nå utgått, og støtten fjernes fullstendig i PHP6

svak typesjekking

(Nesten) ingen typesjekking, og man kan bruke samme variabel vilkårlig som tall, streng osv.
Gjør det vanskelig å forsikre seg om hva slags data man har, og kan føre til feil som er vanskelig å spore.

ingen inndatasjekking

PHP gjør ikke noe automatisk validering eller filtrering av inndata. (med unntak av magic_quotes).

mange feller for uerfarne programmerere

Gir utvikleren rikelig med muligheter for å skyte seg selv i foten.

Hovedpunkter

• include/allow_url_fopen
• SQL-injection
• XSS
• mail()
• session-hijacking
• Filopplasting