Laravel là một trong những framework PHP phổ biến nhất – và điều đó là có lý do. Nó thanh lịch, biểu cảm và đi kèm với nhiều tính năng bảo mật được tích hợp sẵn. Tuy nhiên, chỉ vì Laravel cung cấp sẵn công cụ không có nghĩa là bạn sẽ tự động an toàn.
Dù bạn đang xây dựng MVP hay duy trì một ứng dụng quy mô lớn, bảo mật luôn phải là ưu tiên hàng đầu.
Dưới đây là 15 Best practice về bảo mật Laravel tốt nhất mà mọi lập trình viên nên tuân theo trong năm 2025:
1. Cập nhật Laravel và các thư viện phụ thuộc
Luôn cập nhật phiên bản Laravel, các thư viện liên quan và PHP.
Các bản phát hành Laravel thường bao gồm các bản vá bảo mật và cải tiến mới.
2. Ngăn chặn SQL Injection
Eloquent ORM và query builder của Laravel sử dụng câu lệnh đã được chuẩn bị sẵn theo mặc định.
✅ An toàn:
$users = DB::table('users')->where('email', $email)->get();
❌ Tránh:
DB::select("SELECT * FROM users WHERE email = '$email'");
3. Tránh Cross-Site Scripting (XSS)
Escape toàn bộ dữ liệu đầu ra bằng cú pháp Blade:
{{ $user->name }} // Escapes HTML output
Chỉ nên dùng {!! !!} nếu bạn hoàn toàn tin tưởng nội dung đó.
4. Bảo vệ CSRF
Laravel mặc định đã có middleware bảo vệ CSRF.
Chỉ cần đừng quên thêm @csrf trong các form.
<form method="POST" action="/submit"> @csrf <!-- form inputs -->
</form>
5. Sử dụng hệ thống Xác thực và Phân quyền có sẵn
Tận dụng Laravel Breeze, Fortify hoặc Jetstream.
Dùng Gates và Policies để kiểm soát quyền truy cập.
$this->authorize('update', $post);
6. Lưu trữ mật khẩu một cách an toàn
Tuyệt đối không lưu mật khẩu ở dạng văn bản thuần.
Laravel mặc định sử dụng Bcrypt hoặc Argon2.
Hash::make('supersecret');
7. Bảo vệ tệp .env và cấu hình
- Không commit tệp
.envvào Git. - Đặt
APP_DEBUG=falsetrên môi trường production. - Sử dụng biến môi trường để lưu thông tin nhạy cảm (credentials).
8. Ép buộc sử dụng HTTPS
Ép buộc SSL trong môi trường production:
// AppServiceProvider.php
use Illuminate\Support\Facades\URL; public function boot()
{ if (app()->environment('production')) { URL::forceScheme('https'); }
}
9. Xác thực và làm sạch dữ liệu Upload
- Kiểm tra kích thước và loại file upload.
- Tránh lưu file trong thư mục
/publicnếu không cần truy cập công khai. - Làm sạch tên file.
$request->validate([ 'avatar' => 'required|file|mimes:jpg,jpeg,png|max:2048',
]);
10. Bảo mật Cookie và Phiên làm việc (Session)
Cấu hình các thiết lập an toàn trong config/session.php:
'secure' => env('SESSION_SECURE_COOKIE', true),
'http_only' => true,
'same_site' => 'lax',
11. Giới hạn tốc độ (Rate Limiting)
Ngăn chặn các cuộc tấn công brute force bằng rate limiter của Laravel:
Route::middleware(['throttle:60,1'])->group(function () { // Protected routes
});
12. Tránh lỗi gán giá trị hàng loạt (Mass Assignment)
Dùng $fillable hoặc $guarded trong model Eloquent của bạn:
protected $fillable = ['name', 'email'];
13. Giám sát và Ghi log hoạt động đáng ngờ
Kết hợp hệ thống log của Laravel với các dịch vụ như Sentry, Bugsnag hoặc LogRocket:
Log::warning('Suspicious login attempt', ['email' => $request->email]);
14. Kiểm tra gói thư viện bên thứ ba
Chỉ cài đặt những package bạn thực sự tin tưởng. Kiểm tra:
- Có người bảo trì thường xuyên
- Có cập nhật định kỳ
- Được cộng đồng sử dụng rộng rãi
15. Thực hiện Kiểm tra Bảo mật định kỳ
Sử dụng các công cụ như:
- 🔍 Larastan
- 🔐 Laravel Security Checker
- 🧪 PHPStan
Kết luận
Bảo mật không phải là một công việc làm một lần – đó là một thói quen.
Laravel đã cung cấp cho bạn một nền tảng vững chắc – hãy chắc chắn rằng bạn sử dụng nó đúng cách.
Bạn còn mẹo bảo mật Laravel nào khác? Hãy chia sẻ trong phần bình luận nhé!