Что такое SSRF в PHP-разработке и зачем это спрашивают на собеседовании?

SSRF — уязвимость, когда сервер делает запрос к URL, контролируемому атакующим.

• валидировать host
• запрещать private IP ranges
• нужен allowlist

Почему спрашивают: тема показывает, понимает ли кандидат не только синтаксис, но и последствия для реального PHP-проекта: поддержку, безопасность, производительность и читаемость.

Типичная ошибка: принимать URL вебхука/картинки и без проверок делать curl.

Как отвечать на собеседовании: дать определение, коротко назвать 2–3 практических эффекта и привести пример из проекта.