検索
ホームページバックエンド開発PHPチュートリアルディレクトリトラバーサル攻撃を防ぐための PHP プログラミングの実践

ディレクトリトラバーサル攻撃を防ぐための PHP プログラミングの実践

王林
王林
Jul 05, 2023 pm 08:21 PM
ディレクトリトラバーサル攻撃PHPプログラミングの練習フィルタパラメータ(フィルタ)パスのフォーマット(パス処理)

ディレクトリ トラバーサル攻撃を防ぐための PHP プログラミングの実践

ディレクトリ トラバーサル攻撃 (ディレクトリ トラバーサル攻撃) は、ディレクトリ ジャンプの脆弱性やパス トラバーサルの脆弱性とも呼ばれ、一般的な Web セキュリティの脆弱性です。攻撃者は悪意のある入力を構築することで、システム内の機密ファイルを取得したり、悪意のある操作を実行したりしようとします。この記事では、PHP を使用してディレクトリ トラバーサル攻撃を防ぐ安全なコードを作成する方法について説明します。以下では、ユーザー入力のフィルタリングと検証、ファイル パス処理のセキュリティ制御、ファイル アクセス許可の制御の 3 つの側面について詳しく説明します。

1. ユーザー入力のフィルタリングと検証

ディレクトリ トラバーサル攻撃の本質はユーザー入力を通じて達成されるため、まずユーザー入力を効果的にフィルタリングして検証する必要があります。 PHP は、この機能を実装するための一連のフィルター関数と正規表現を提供します。たとえば、preg_match() 関数を使用すると、ユーザー入力に対して通常のマッチングを実行し、有効な文字を含む入力のみを許可できます。サンプルコードは以下の通りです: 

function validate_input($input) {
    // 允许的字符为字母、数字、下划线、点和斜杠
    $pattern = '/^[a-zA-Z0-9_./]+$/';
  
    if (preg_match($pattern, $input)) {
        return true;
    } else {
        return false;
    }
}

2. ファイルパス処理のセキュリティ制御

PHPではファイル操作に相対パスまたは絶対パスを使用するのが一般的です。ディレクトリトラバーサル攻撃を防ぐためには、ユーザーが入力したパスにセキュリティ制御を施す必要があります。まず、realpath() 関数を使用して、ユーザーが入力した相対パスを絶対パスに変換できます。次に、basename() 関数を使用して、パスのファイル名部分を取得してから、安全なファイル パスと比較します。サンプル コードは次のとおりです: 

function safe_path($path) {
    $basepath = '/var/www/html/uploads/';
  
    $realpath = realpath($basepath . $path);
  
    if (strpos($realpath, $basepath) === 0) {
        return basename($realpath);
    } else {
        return false;
    }
}

3. ファイル アクセス許可の制御

ユーザー入力のフィルタリングと処理に加えて、セキュリティ制御もファイル システム レベルで実行する必要があります。まず、Web サイトのルート ディレクトリ (ドキュメント ルート) の外側にあるファイルがアクセスできないことを確認します。次に、Apache や Nginx などの Web サーバーの構成ファイルを使用して、適切なアクセス制御権限を設定します。サンプル コードは次のとおりです。 

<Directory "/var/www/html/uploads">
    Options -Indexes
    AllowOverride None
    Order allow,deny
    Allow from all
</Directory>

上記のセキュリティ対策により、ディレクトリ トラバーサル攻撃を効果的に防ぐことができます。ただし、セキュリティ対策は予防策の一部にすぎず、最も効果的な方法は、セキュリティを Web アプリケーション開発プロセス全体の重要な要素として捉え、包括的なセキュリティ テストを実施することです。

要約すると、ユーザー入力のフィルタリングと検証、ファイル パス処理のセキュリティ制御、ファイル アクセス許可の制御を通じて、PHP コードのセキュリティを向上させ、ディレクトリ トラバーサル攻撃の発生を効果的に防ぐことができます。 . .同時に、Web セキュリティ分野の最新動向や脆弱性にも引き続き注意を払い、Web アプリケーションの安全性を確保するためにセキュリティ対策を迅速に更新および改善する必要があります。

以上がディレクトリトラバーサル攻撃を防ぐための PHP プログラミングの実践の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
PHPの目的:動的なWebサイトの構築PHPの目的:動的なWebサイトの構築Apr 15, 2025 am 12:18 AM

PHPは動的なWebサイトを構築するために使用され、そのコア関数には次のものが含まれます。1。データベースに接続することにより、動的コンテンツを生成し、リアルタイムでWebページを生成します。 2。ユーザーのインタラクションを処理し、提出をフォームし、入力を確認し、操作に応答します。 3.セッションとユーザー認証を管理して、パーソナライズされたエクスペリエンスを提供します。 4.パフォーマンスを最適化し、ベストプラクティスに従って、ウェブサイトの効率とセキュリティを改善します。

PHP:データベースとサーバー側のロジックの処理PHP:データベースとサーバー側のロジックの処理Apr 15, 2025 am 12:15 AM

PHPはMySQLIおよびPDO拡張機能を使用して、データベース操作とサーバー側のロジック処理で対話し、セッション管理などの関数を介してサーバー側のロジックを処理します。 1)MySQLIまたはPDOを使用してデータベースに接続し、SQLクエリを実行します。 2)セッション管理およびその他の機能を通じて、HTTPリクエストとユーザーステータスを処理します。 3)トランザクションを使用して、データベース操作の原子性を確保します。 4)SQLインジェクションを防ぎ、例外処理とデバッグの閉鎖接続を使用します。 5)インデックスとキャッシュを通じてパフォーマンスを最適化し、読みやすいコードを書き、エラー処理を実行します。

PHPでのSQL注入をどのように防止しますか? (準備された声明、PDO)PHPでのSQL注入をどのように防止しますか? (準備された声明、PDO)Apr 15, 2025 am 12:15 AM

PHPで前処理ステートメントとPDOを使用すると、SQL注入攻撃を効果的に防ぐことができます。 1)PDOを使用してデータベースに接続し、エラーモードを設定します。 2)準備方法を使用して前処理ステートメントを作成し、プレースホルダーを使用してデータを渡し、メソッドを実行します。 3)結果のクエリを処理し、コードのセキュリティとパフォーマンスを確保します。

PHPおよびPython:コードの例と比較PHPおよびPython:コードの例と比較Apr 15, 2025 am 12:07 AM

PHPとPythonには独自の利点と短所があり、選択はプロジェクトのニーズと個人的な好みに依存します。 1.PHPは、大規模なWebアプリケーションの迅速な開発とメンテナンスに適しています。 2。Pythonは、データサイエンスと機械学習の分野を支配しています。

アクション中のPHP:実際の例とアプリケーションアクション中のPHP:実際の例とアプリケーションApr 14, 2025 am 12:19 AM

PHPは、電子商取引、コンテンツ管理システム、API開発で広く使用されています。 1)eコマース:ショッピングカート機能と支払い処理に使用。 2)コンテンツ管理システム:動的コンテンツの生成とユーザー管理に使用されます。 3)API開発:RESTFUL API開発とAPIセキュリティに使用されます。パフォーマンスの最適化とベストプラクティスを通じて、PHPアプリケーションの効率と保守性が向上します。

PHP:インタラクティブなWebコンテンツを簡単に作成しますPHP:インタラクティブなWebコンテンツを簡単に作成しますApr 14, 2025 am 12:15 AM

PHPにより、インタラクティブなWebコンテンツを簡単に作成できます。 1)HTMLを埋め込んでコンテンツを動的に生成し、ユーザー入力またはデータベースデータに基づいてリアルタイムで表示します。 2)プロセスフォームの提出と動的出力を生成して、XSSを防ぐためにHTMLSPECIALCHARSを使用していることを確認します。 3)MySQLを使用してユーザー登録システムを作成し、Password_HashおよびPreprocessingステートメントを使用してセキュリティを強化します。これらの手法を習得すると、Web開発の効率が向上します。

PHPとPython:2つの一般的なプログラミング言語を比較しますPHPとPython:2つの一般的なプログラミング言語を比較しますApr 14, 2025 am 12:13 AM

PHPとPythonにはそれぞれ独自の利点があり、プロジェクトの要件に従って選択します。 1.PHPは、特にWebサイトの迅速な開発とメンテナンスに適しています。 2。Pythonは、データサイエンス、機械学習、人工知能に適しており、簡潔な構文を備えており、初心者に適しています。

PHPの永続的な関連性:それはまだ生きていますか?PHPの永続的な関連性:それはまだ生きていますか?Apr 14, 2025 am 12:12 AM

PHPは依然として動的であり、現代のプログラミングの分野で重要な位置を占めています。 1)PHPのシンプルさと強力なコミュニティサポートにより、Web開発で広く使用されています。 2)その柔軟性と安定性により、Webフォーム、データベース操作、ファイル処理の処理において顕著になります。 3)PHPは、初心者や経験豊富な開発者に適した、常に進化し、最適化しています。

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

もっと見る

人気の記事

R.E.P.O.説明されたエネルギー結晶と彼らが何をするか(黄色のクリスタル)
4週間前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最高のグラフィック設定
4週間前By尊渡假赌尊渡假赌尊渡假赌
アサシンのクリードシャドウズ:シーシェルリドルソリューション
2週間前ByDDD
R.E.P.O.誰も聞こえない場合はオーディオを修正する方法
4週間前By尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:Myriseのすべてのロックを解除する方法
1 か月前By尊渡假赌尊渡假赌尊渡假赌
もっと見る

ホットツール

AtomエディタMac版ダウンロード

AtomエディタMac版ダウンロード

最も人気のあるオープンソースエディター

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強力な PHP 統合開発環境

VSCode Windows 64 ビットのダウンロード

VSCode Windows 64 ビットのダウンロード

Microsoft によって発売された無料で強力な IDE エディター

WebStorm Mac版

WebStorm Mac版

便利なJavaScript開発ツール

もっと見る

ホットトピック

Gmailメールのログイン入り口はどこですか?
7504
15
CakePHP チュートリアル
1378
52
Steamのアカウント名の形式は何ですか
78
11
Win11 Activation Key Permanent
52
19
NYTの接続はヒントと回答です
19
54
もっと見る