wantPHP adalah bahasa pemrograman yang berbasiskan C. Bahasa pemrograman ini sangat mudah digunakan dan juga sangat mudah dipelajari oleh pemula yang belum pernah menyentuh PHP sama sekali. Salah satu kemudahannya adalah tidak perlu melakukan deklarasi variabel. Namun beberapa kemudahan itu juga bisa menyebabkan lemahnya keamanan dalam menggunakan aplikasi web. Beberapa masalah penanganan keamanan di PHP menurut berbagai sumber adalah sebagai berikut:

Input dari user yang tidak tervalidasi

Salah satu kesalahan paling umum, bukan hanya pada programmer PHP saja, tapi juga semua programmer. Sebagai programmer, kita harus menganggap bahwa inputan dari user tidak dapat dipercaya dan harus dilakukan validasi sebelum diproses lebih lanjut.

Pengaturan Akses

Dalam sebuah website, terdapat beberapa halaman yang tidak boleh dimasuki oleh user umum. Salah satunya adalah halaman admin yang berfungsi mengatur keseluruhan website. Hak akses dari user harus diatur agar user tidak dapat memasuki halaman yang tidak seharusnya user itu masuki.

Pengaturan Session ID

Pengaturan Session ID sangat penting dalam masalah keamanan suatu website. Pada saat user melakukan login, user akan diberikan session ID baru. Bila session ID ini diketahui seseorang (dalam hal ini adalah pembajak atau hacker) maka informasi-informasi pribadi pemilik session ID tersebut akan bisa diketahui. Hal ini sangat berbahaya bila sudah menyangkut masalah yang sangat kritis, misal nomor kartu kredit. Hal ini bisa dihindari dengan cara memberikan session ID yang baru atau melakukan login ulang.

Injeksi SQL

Saat sebuah web aplikasi memerlukan login, user akan memasukkan username dan password mereka. Setelah itu, aplikasi web akan melakukan query untuk melakukan pengecekan username itu di database seperti terlihat di bawah ini

SELECT * FROM users WHERE name='$username' AND pass='$password';

Seorang pembajak, bisa saja memasukkan kata ‘ OR ‘1’=’1 sehingga querynya akan menjadi seperti ini:

SELECT * FROM users WHERE name='user' AND pass='' OR '1'='1';

Query di atas sudah pasti valid dan si pembajak akan berhasil masuk. Untuk menghindari hal ini, sebaiknya dilakukan pengecekan terhadap karakter berbahaya seperti tanda ptik satu (‘).

Masih banyak lagi masalah-masalah penanganan keamanan dalam pemrograman PHP. Hal ini harus diperhatikan benar-benar supaya tidak terjadi hal-hal yang diinginkan. Semoga bisa berguna untuk para pembaca sekalian.