PHP treibt einen Riesenteil des Webs an (auch dieses Forum!). Einstieg mit den zwei wichtigsten Sicherheitsregeln ab Tag 1.
Schritt 1: Umgebung
Lokal am einfachsten: XAMPP installieren →
Schritt 2: Erstes Script
Aufruf:
Regel 1: NIEMALS Eingaben ungefiltert ausgeben
Das
Regel 2: NIEMALS Eingaben in SQL kleben
Falsch:
Richtig: Prepared Statements:
Warum das zählt
Die zwei Regeln verhindern die zwei häufigsten Web-Sicherheitslücken überhaupt. Wer sie von Anfang an verinnerlicht, schreibt automatisch besseren Code.
Weiter
• PHP: PDO vs. mysqli — wann was?
• PHP: CSRF-Token — Minimalmuster
Schritt 1: Umgebung
Lokal am einfachsten: XAMPP installieren →
htdocs-Ordner → Dateien dort ablegen → im Browser localhost/deinedatei.php öffnen.Schritt 2: Erstes Script
<?php
$name = isset($_GET['name']) ? $_GET['name'] : 'Gast';
?>
<h1>Hallo <?php echo htmlspecialchars($name, ENT_QUOTES, 'UTF-8'); ?>!</h1>Aufruf:
localhost/hallo.php?name=HennerRegel 1: NIEMALS Eingaben ungefiltert ausgeben
Das
htmlspecialchars() oben ist kein Detail — ohne es kann jeder über die URL Schadcode in deine Seite schleusen (XSS). Merksatz: Ausgabe immer escapen.Regel 2: NIEMALS Eingaben in SQL kleben
Falsch:
"SELECT * FROM users WHERE name = '$name'" → SQL-Injection.Richtig: Prepared Statements:
$stmt = $pdo->prepare('SELECT * FROM users WHERE name = ?');
$stmt->execute([$name]);Warum das zählt
Die zwei Regeln verhindern die zwei häufigsten Web-Sicherheitslücken überhaupt. Wer sie von Anfang an verinnerlicht, schreibt automatisch besseren Code.
Weiter
• PHP: PDO vs. mysqli — wann was?
• PHP: CSRF-Token — Minimalmuster