일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행

Linda Hamilton

Nov 02, 2024 pm 11:34 PM

Essential Security Practices to Protect Your PHP Application from Common Vulnerabilities

PHP 애플리케이션을 보호하려면 SQL 삽입, XSS(교차 사이트 스크립팅), CSRF(교차 사이트 요청 위조), 세션 하이재킹, 파일 포함과 같은 일반적인 취약점으로부터 애플리케이션을 보호해야 합니다. 공격. 다음은 PHP 애플리케이션 보안 방법을 이해하는 데 도움이 되는 부분별 설명이 포함된 실습 예제입니다.

1. SQL 인젝션 방지

SQL 삽입은 공격자가 쿼리에 악성 SQL 문을 삽입할 수 있을 때 발생합니다. 이를 방지하려면 매개변수화된 쿼리와 함께 준비된 문을 사용하세요.

예:

<?php // Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

설명:

준비된 문장으로 SQL 쿼리와 데이터를 분리해 악성코드 삽입을 방지합니다.
bind_param은 쿼리 구조를 수정하기 위한 직접 입력을 허용하지 않고 $user_id를 SQL 문에 바인딩합니다.

2. 교차 사이트 스크립팅(XSS) 방지

XSS는 공격자가 다른 사용자가 보는 웹페이지에 악성 스크립트를 삽입할 때 발생합니다. 이를 방지하려면 항상 출력을 삭제하고 인코딩하세요.

예:

<?php // Insecure version
echo "<p>Welcome, " . $_GET['username'] . "";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

설명:

htmlspecialchars는 특수 문자(예: )를 HTML 엔터티로 변환하여 사용자 입력에 포함된 모든 스크립트를 무력화합니다.
ENT_QUOTES는 작은따옴표와 큰따옴표를 모두 이스케이프하여 HTML 속성으로 출력하는 것이 더 안전합니다.

3. 사이트 간 요청 위조(CSRF) 방지

CSRF는 공격자가 사용자가 모르는 사이에 사이트에서 작업을 수행하도록 사용자를 속일 때 발생합니다. 토큰을 사용하여 CSRF로부터 보호하세요.

예:

<?php // Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '';
?>

submit.php에서:

<?php session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token validation failed.");
}

// Process form data
$data = $_POST['data'];
?>

설명:

세션별로 고유한 CSRF 토큰이 생성되고 양식의 숨겨진 필드로 추가됩니다.
양식이 제출되면 토큰이 확인됩니다. 저장된 세션 토큰과 일치하지 않으면 요청이 거부됩니다.

4. 세션 하이재킹 방지

세션 하이재킹을 방지하려면 세션을 보호하세요. 여기에는 엄격한 세션 구성 설정 및 세션 ID 재생성이 포함됩니다.

예:

<?php session_start();

// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);

// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1);   // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs

// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
    session_unset();
    session_destroy();
    session_start();
}
?>

설명:

session_regenerate_id(true)는 새로운 세션 ID를 생성하여 세션 고정 위험을 줄입니다.
cookie_httponly 및 cookie_secure를 설정하면 JavaScript 및 안전하지 않은(HTTPS가 아닌) 액세스를 제한하여 쿠키 도용을 방지하는 데 도움이 됩니다.

5. 안전한 파일 업로드

파일 업로드를 제한하지 않으면 악성 파일이 업로드 및 실행될 수 있습니다. 항상 파일 형식을 확인하고 안전하게 저장하세요.

예:

<?php // Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

설명:

허용되는 유형의 배열과 비교하여 파일 확장자를 확인하여 특정 파일 유형만 허용하세요.
웹 루트 외부에 파일을 저장하고 move_uploaded_file을 사용하여 직접 URL을 통해 액세스할 수 없도록 하세요.

6. 콘텐츠 보안 정책(CSP) 사용

CSP 헤더는 리소스를 로드할 수 있는 위치를 제한하여 XSS 및 데이터 주입 공격을 방지하는 데 도움이 될 수 있습니다.

예(.htaccess 파일 또는 서버 구성에 추가됨):

<?php // Insecure version
echo "<p>Welcome, " . $_GET['username'] . "";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

설명:

이 CSP는 동일한 출처(self)에서만 리소스를 로드하도록 제한하며,trustedscripts.com의 JavaScript가 허용됩니다.
이렇게 하면 외부 스크립트나 신뢰할 수 없는 리소스가 로드되는 것을 방지하여 XSS 위험을 줄일 수 있습니다.

7. 입력 검증 및 삭제

입력 검증 및 삭제를 사용하여 다양한 유형의 주입을 방지합니다.

예:

<?php // Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '';
?>

설명:

FILTER_VALIDATE_INT는 나이가 유효한 정수인지 확인합니다.
FILTER_SANITIZE_STRING은 사용자 이름에서 HTML 태그나 특수 문자를 제거합니다.

이러한 방법을 구현하면 PHP 애플리케이션이 일반적인 취약점으로부터 더 잘 보호됩니다. 모범 사례를 최신 상태로 유지하고 코드에 보안 조치를 지속적으로 적용하는 것이 중요합니다.

저와 연결하세요:@ LinkedIn을 통해 내 포트폴리오를 확인해 보세요.

내 GitHub 프로젝트에 별점을 주세요 ⭐️

위 내용은 일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

11 최고의 PHP URL 쇼트너 스크립트 (무료 및 프리미엄)Mar 03, 2025 am 10:49 AM

종종 키워드와 추적 매개 변수로 혼란스러워하는 긴 URL은 방문자를 방해 할 수 있습니다. URL 단축 스크립트는 솔루션을 제공하여 소셜 미디어 및 기타 플랫폼에 이상적인 간결한 링크를 만듭니다. 이 스크립트는 개별 웹 사이트 a에 유용합니다

Laravel의 플래시 세션 데이터로 작업합니다Mar 12, 2025 pm 05:08 PM

Laravel은 직관적 인 플래시 방법을 사용하여 임시 세션 데이터 처리를 단순화합니다. 응용 프로그램에 간단한 메시지, 경고 또는 알림을 표시하는 데 적합합니다. 데이터는 기본적으로 후속 요청에만 지속됩니다. $ 요청-

Laravel Back End : Part 2, React가있는 React 앱 구축Mar 04, 2025 am 09:33 AM

이것은 Laravel 백엔드가있는 React Application을 구축하는 데있어 시리즈의 두 번째이자 마지막 부분입니다. 이 시리즈의 첫 번째 부분에서는 기본 제품 목록 응용 프로그램을 위해 Laravel을 사용하여 편안한 API를 만들었습니다. 이 튜토리얼에서는 Dev가 될 것입니다

Laravel 테스트에서 단순화 된 HTTP 응답 조롱Mar 12, 2025 pm 05:09 PM

Laravel은 간결한 HTTP 응답 시뮬레이션 구문을 제공하여 HTTP 상호 작용 테스트를 단순화합니다. 이 접근법은 테스트 시뮬레이션을보다 직관적으로 만들면서 코드 중복성을 크게 줄입니다. 기본 구현은 다양한 응답 유형 단축키를 제공합니다. Illuminate \ support \ Facades \ http를 사용하십시오. http :: 가짜 ([ 'google.com'=> 'Hello World', 'github.com'=> [ 'foo'=> 'bar'], 'forge.laravel.com'=>

PHP의 컬 : REST API에서 PHP Curl Extension 사용 방법Mar 14, 2025 am 11:42 AM

PHP 클라이언트 URL (CURL) 확장자는 개발자를위한 강력한 도구이며 원격 서버 및 REST API와의 원활한 상호 작용을 가능하게합니다. PHP CURL은 존경받는 다중 프로모토콜 파일 전송 라이브러리 인 Libcurl을 활용하여 효율적인 execu를 용이하게합니다.