Un proxy PHP è un singolo script o un gruppo di script che prende le informazioni da una pagina Web o da un’interfaccia e le trasferisce a un server Web per un qualche tipo di elaborazione. I proxy PHP possono essere semplici o complessi, prendendo input da un singolo modulo o collegando più interfacce e terminali di computer in un insieme coerente. A differenza del linguaggio JavaScript lato client, gli script e i proxy PHP vengono tutti eseguiti su un server Web, il che offre loro il vantaggio di non dover fare affidamento su software installato da un utente.
Gli script che comprendono un proxy PHP possono essere scritti in due modi. Innanzitutto, possono essere scritti come una sequenza di comandi, da eseguire uno dopo l’altro. In secondo luogo, possono essere strutturati come classi in un linguaggio di programmazione orientato agli oggetti. Entrambi i tipi di script PHP possono essere inclusi all’interno di altri script PHP per ridurre al minimo il codice ripetuto in tutto il proxy.
Poiché un proxy PHP viene eseguito su Internet, ci sono molti problemi di sicurezza che dovrebbero essere presi in considerazione quando ne si scrive uno. I proxy PHP non devono solo trasferire dati da una pagina Web a un server, ma devono anche controllare i dati forniti nella pagina Web per garantire che i dati non abbiano un impatto negativo sul server. Il linguaggio di scripting PHP ha alcune funzioni integrate che consentono la corretta convalida e sanificazione dell’input, ma queste da sole non possono sempre proteggere un server da un attacco dannoso. Sono essenziali un corretto controllo degli errori di input e una corretta strutturazione degli script all’interno del proxy PHP.
Quando un proxy PHP è costituito da più script, ogni script dovrebbe avere una qualche forma di controllo degli errori e convalida dell’input. Anche se uno script PHP non riceve input direttamente da una pagina Web, potrebbe essere comunque possibile per un utente, innocente o malintenzionato, eseguire lo script da Internet in contesti in cui non dovrebbe essere. Esistono nel linguaggio PHP sia metodi incorporati che piccoli algoritmi che lo sviluppatore può implementare per prevenire questa esecuzione non autorizzata. Gli script PHP a prova di errore in questo modo non comportano necessariamente disposizioni specifiche in ogni script per impedire l’accesso da ogni altro script e da Internet. Spesso è possibile utilizzare meccanismi semplici che proteggono gli script dagli attacchi più comuni.
I proxy PHP consentono alle pagine Web di avere un’ampia funzionalità oltre al testo statico e alle immagini. Sebbene la convalida dei moduli sia di gran lunga la funzionalità più comune, PHP può essere utilizzato anche per creare immagini dinamiche o chiamare direttamente programmi per generare risultati dai dati. Ogni uso distinto di PHP ha il proprio insieme di problemi di sicurezza e si dovrebbe fare molta attenzione a bilanciare la funzionalità con la sicurezza in un proxy PHP.