Penyertaan Staf PKTAAB Meriahkan Sambutan Hari Pekerja 2026 Bersama Kontinjen USM
May 01, 2026
Meningkatkan Keselamatan Aplikasi Php: Amalan Terbaik Untuk Mengelakkan Kelemahan Umum
NURULHUDA BINTI ABDUL JAIS
PEGAWAI TEKNOLOGI MAKLUMAT F10
Puan Nurulhuda Binti Abdul Jais (Pegawai Teknologi Maklumat, IPPT, USM)
Photo by: Google Image
Logo PHP
October 21 2025
Pengenalan
Dalam dunia pembangunan web, PHP masih menjadi salah satu bahasa pengaturcaraan yang paling banyak digunakan untuk membina aplikasi web dinamik. Walaupun PHP menawarkan kemudahan dan kelajuan dalam pembangunan, ia juga datang dengan cabaran keselamatan yang harus dihadapi oleh setiap pembangun. Keselamatan aplikasi PHP adalah isu yang tidak boleh dipandang ringan, kerana kelemahan dalam kod boleh dieksploitasi oleh pihak yang berniat jahat, yang boleh membawa kepada kerugian yang besar.
Sebagai pembangun sistem, adalah perlu sentiasa peka terhadap amalan keselamatan terbaik untuk memastikan aplikasi bukan sahaja berfungsi dengan baik, tetapi juga selamat. Artikel ini akan menggariskan beberapa teknik dan amalan terbaik untuk menulis kod PHP yang lebih selamat.
1. Mengelakkan Serangan SQL Injection
SQL injection adalah salah satu bentuk serangan yang paling biasa terhadap aplikasi web. Ia berlaku apabila penyerang dapat menyuntikkan kod SQL berbahaya dalam permintaan pengguna, yang kemudian akan dieksekusi oleh pangkalan data.
Cara untuk mengelakkan:
- Gunakan prepared statements dan parameterized queries: Ini adalah cara paling berkesan untuk mengelakkan SQL injection. Dengan menggunakan prepared statements, perintah SQL dan data pengguna dipisahkan, yang menghalang sebarang percubaan untuk menyuntik kod berbahaya.
- Elakkan menggunakan fungsi seperti mysql_query() yang sudah usang dan sebaliknya gunakan MySQLi atau PDO yang lebih selamat.
2. Pengurusan Input Pengguna
Salah satu prinsip asas dalam keselamatan aplikasi web adalah untuk sentiasa menganggap input daripada pengguna sebagai tidak dipercayai. Tanpa pengurusan input yang betul, aplikasi anda terdedah kepada pelbagai jenis serangan seperti XSS (Cross-Site Scripting) dan CSRF (Cross-Site Request Forgery).
Cara untuk mengelakkan:
- Validasi input pengguna: Sentiasa semak data yang diterima untuk memastikan ia mematuhi format yang diingini (contohnya, jika anda memerlukan nombor telefon, pastikan input hanya mengandungi nombor).
- Sanitasi data: Gunakan fungsi seperti htmlspecialchars() untuk mencegah input HTML daripada dijalankan dalam aplikasi.
3. Penggunaan Penyulitan untuk Maklumat Sensitif
Penyulitan adalah kunci untuk melindungi data sensitif dalam aplikasi. Tanpa penyulitan, maklumat peribadi seperti kata laluan dan data kewangan mudah diakses jika sistem diserang.
Cara untuk mengelakkan:
- Gunakan algoritma penyulitan yang selamat seperti bcrypt, Argon2, atau PBKDF2 untuk menyimpan kata laluan. Elakkan menggunakan penyulitan lama seperti MD5 atau SHA-1, kerana ia sudah tidak selamat.
- Gunakan HTTPS untuk memastikan data yang dihantar antara klien dan pelayan disulitkan secara keseluruhan.
4. Pengurusan Sesi yang Selamat
Sesi adalah elemen penting dalam kebanyakan aplikasi web. Pengurusan sesi yang tidak betul boleh membawa kepada serangan seperti session hijacking atau session fixation.
Cara untuk mengelakkan:
- Gunakan sesi yang selamat: Pastikan sesi dilindungi dengan session_regenerate_id() setiap kali pengguna log masuk untuk mencegah serangan session fixation.
- Gunakan cookie sesi yang selamat: Tetapkan flag Secure dan HttpOnly pada cookie untuk memastikan ia hanya boleh dihantar melalui HTTPS dan tidak boleh diakses oleh JavaScript.
5. Pemantauan dan Penilaian Keselamatan Berkala
Tiada sistem yang 100% selamat, jadi penting untuk sentiasa memantau dan menguji aplikasi untuk mencari kelemahan yang mungkin telah terlepas.
Cara untuk mengelakkan:
- Gunakan alat pengimbas keselamatan: Terdapat banyak alat pengimbas keselamatan automatik seperti OWASP ZAP atau Burp Suite yang boleh membantu anda mengesan potensi isu keselamatan.
- Kemaskini perisian dan pustaka (library) secara berkala: Pastikan PHP dan pustaka (library) pihak ketiga sentiasa dikemas kini untuk mengelakkan serangan berdasarkan kelemahan yang telah dikenal pasti.
Penutup
Keselamatan dalam pembangunan PHP bukan hanya bergantung kepada kod yang ditulis, tetapi juga kepada amalan keselamatan yang diterapkan sepanjang kitaran hayat pembangunan aplikasi. Sebagai pembangun, seharusnya sentiasa berusaha untuk menambahbaik keselamatan aplikasi dengan mengikuti amalan terbaik yang telah terbukti berkesan. Dengan pemahaman dan langkah-langkah yang betul, dapat memastikan bahawa aplikasi yang dibina bukan sahaja berfungsi dengan baik, tetapi juga selamat dari ancaman luar.
Rujukan utama:
- Halfond, W. G. J., & Orso, A. (2005). A Classification of SQL Injection Attacks and Countermeasures. IEEE International Symposium on Software Reliability Engineering, 2005.
DOI: 10.1109/ISSRE.2005.44 - Asadullah Samo, Moiz A. Halepoto, Kashan Awan, Jawad A. Jinjhin, Mehwish Shaikh, Qasim Ali Arain. (2024). An In-Depth Analysis of Cross-site Scripting (XSS): Threats, Mechanisms, and Mitigation Strategies. IMCEET 2024.
https://www.researchgate.net/publication/384662762_An_In-Depth_Analysis_of_Cross-site_Scripting_XSS_Threats_Mechanisms_and_Mitigation_Strategies - Oluwasanmi Segun Adanigbo, Denis Kisina, Samuel Owoade, Abel Chukwuemeke Uzoka, Bright Chibunna, Ubanadu, Toluwase Peter Gbenle. (2022). Advances in Secure Session Management for High-Volume Web and Mobile Applications. International Journal of Multidisciplinary Research and Growth Evaluation.
DOI: https://doi.org/10.54660/.IJMRGE.2022.2.1.1002-1007
SDG 3 - Ensure healthy lives and promote well-being for all at all ages