В каком этапе обучения нужно беспокоиться о безопасности?

Question

[Vova Margaryan]

Всем привет на процедурном коде написал блог с CRUD системой
И меня интересует стоит ли сейчас беспокоиться о безопасности
?
То есть сейчас человек может спокойно удалить статьи при помощи GET запросов
не могу это решить.
Но я это максимально усложнил

Comments

[meridbt]

Добавьте хотя бы Basic авторизацию в HTTP заголовке. Оставлять незакрытой возможность управлять контентом - не лучшая идея.

Там где вы осуществляете любой ввод от пользователя/администратора в обязательном порядке проверяйте ввод и экранируйте спецсимволы чтобы не получить инъекцию

Answer 1

[FanatPHP]

Начинать беспокоиться о безопасности надо ДО начала обучения. То есть сильно раньше, чем когда уже "написал блог".
Хотя бы базовые принципы надо применять с самого начала
Для запросов в бд использовать подготовленные выражения.
Для вывода информации в html использовать htmlspecialchars
Если не дай бог читаются какие-то указанные пользователем файлы - то basename()
При заливке файлов проверять расширение и переименовывать файл.
При выполнении пользователем каких-то действий, проверять имеет ли он на это право.
Во все формы добавлять сохранённый в сессии токен, чтобы их не могли подделать

Comments

[Developer]

И это только начало...
Верхушка айсберга

Answer 2

[mletov]

1) Почитайте спецификацию REST API
2) Почитайте про JWT и авторизазацию по токену

Answer 3

[xmoonlight]

То есть сейчас человек может спокойно удалить статьи при помощи GET запросов
не могу это решить.

Странно, что он их смог создать!
Крайне странный вопрос, похожий на троллинг.