Bảo mật mã nguồn: Chống tấn công SQL Injection và XSS trong PHP

Mã nguồn game của bạn có thể bị hacker nhòm ngó bất cứ lúc nào, đặc biệt là khi hệ thống của bạn có chức năng nạp tiền và chứa thông tin người dùng.

1. Tấn công SQL Injection (SQLi) là gì?

Đây là kỹ thuật hacker chèn các đoạn mã SQL độc hại vào các ô input (như form đăng nhập, ô tìm kiếm) để thao túng cơ sở dữ liệu. Hậu quả nhẹ thì lộ data, nặng thì mất sạch toàn bộ dữ liệu hoặc bị chèn tài khoản Admin.

Cách phòng chống: Luôn luôn sử dụng PDO và Prepared Statements (Tham số hóa). Tuyệt đối không nối chuỗi biến trực tiếp vào câu lệnh SQL.

2. Tấn công Cross-Site Scripting (XSS)

XSS xảy ra khi hacker chèn các đoạn mã Javascript độc hại vào website của bạn (thường qua ô bình luận). Khi người khác xem trang, mã JS này sẽ chạy và ăn cắp cookie/phiên đăng nhập.

Cách phòng chống: Nếu bạn dùng Laravel, hãy luôn in dữ liệu ra bằng cặp ngoặc nhọn {{ $variable }} vì Laravel đã tự động chạy hàm htmlspecialchars() để làm sạch dữ liệu.