일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행

PHP 애플리케이션을 보호하려면 SQL 삽입, XSS(교차 사이트 스크립팅), CSRF(교차 사이트 요청 위조), 세션 하이재킹, 파일 포함과 같은 일반적인 취약점으로부터 애플리케이션을 보호해야 합니다. 공격. 다음은 PHP 애플리케이션 보안 방법을 이해하는 데 도움이 되는 부분별 설명이 포함된 실습 예제입니다.

1. SQL 인젝션 방지

SQL 삽입은 공격자가 쿼리에 악성 SQL 문을 삽입할 수 있을 때 발생합니다. 이를 방지하려면 매개변수화된 쿼리와 함께 준비된 문을 사용하세요.

예:

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

설명:

• 준비된 문장으로 SQL 쿼리와 데이터를 분리해 악성코드 삽입을 방지합니다.
• bind_param은 쿼리 구조를 수정하기 위한 직접 입력을 허용하지 않고 $user_id를 SQL 문에 바인딩합니다.

2. 교차 사이트 스크립팅(XSS) 방지

XSS는 공격자가 다른 사용자가 보는 웹페이지에 악성 스크립트를 삽입할 때 발생합니다. 이를 방지하려면 항상 출력을 삭제하고 인코딩하세요.

예:

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

설명:

• htmlspecialchars는 특수 문자(예: < 및 >)를 HTML 엔터티로 변환하여 사용자 입력에 포함된 모든 스크립트를 무력화합니다.
• ENT_QUOTES는 작은따옴표와 큰따옴표를 모두 이스케이프하여 HTML 속성으로 출력하는 것이 더 안전합니다.

3. 사이트 간 요청 위조(CSRF) 방지

CSRF는 공격자가 사용자가 모르는 사이에 사이트에서 작업을 수행하도록 사용자를 속일 때 발생합니다. 토큰을 사용하여 CSRF로부터 보호하세요.

예:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>

submit.php에서:

<?php
session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
    die("CSRF token validation failed.");
}

// Process form data
$data = $_POST['data'];
?>

설명:

• 세션별로 고유한 CSRF 토큰이 생성되고 양식의 숨겨진 필드로 추가됩니다.
• 양식이 제출되면 토큰이 확인됩니다. 저장된 세션 토큰과 일치하지 않으면 요청이 거부됩니다.

4. 세션 하이재킹 방지

세션 하이재킹을 방지하려면 세션을 보호하세요. 여기에는 엄격한 세션 구성 설정 및 세션 ID 재생성이 포함됩니다.

예:

<?php
session_start();

// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);

// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1);   // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs

// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
    session_unset();
    session_destroy();
    session_start();
}
?>

설명:

• session_regenerate_id(true)는 새로운 세션 ID를 생성하여 세션 고정 위험을 줄입니다.
• cookie_httponly 및 cookie_secure를 설정하면 JavaScript 및 안전하지 않은(HTTPS가 아닌) 액세스를 제한하여 쿠키 도용을 방지하는 데 도움이 됩니다.

5. 안전한 파일 업로드

파일 업로드를 제한하지 않으면 악성 파일이 업로드 및 실행될 수 있습니다. 항상 파일 형식을 확인하고 안전하게 저장하세요.

예:

<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);

// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id);  // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>

설명:

• 허용되는 유형의 배열과 비교하여 파일 확장자를 확인하여 특정 파일 유형만 허용하세요.
• 웹 루트 외부에 파일을 저장하고 move_uploaded_file을 사용하여 직접 URL을 통해 액세스할 수 없도록 하세요.

6. 콘텐츠 보안 정책(CSP) 사용

CSP 헤더는 리소스를 로드할 수 있는 위치를 제한하여 XSS 및 데이터 주입 공격을 방지하는 데 도움이 될 수 있습니다.

예(.htaccess 파일 또는 서버 구성에 추가됨):

<?php
// Insecure version
echo "<p>Welcome, " . $_GET['username'] . "</p>";

// Secure version
echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>";
?>

설명:

• 이 CSP는 동일한 출처(self)에서만 리소스를 로드하도록 제한하며,trustedscripts.com의 JavaScript가 허용됩니다.
• 이렇게 하면 외부 스크립트나 신뢰할 수 없는 리소스가 로드되는 것을 방지하여 XSS 위험을 줄일 수 있습니다.

7. 입력 검증 및 삭제

입력 검증 및 삭제를 사용하여 다양한 유형의 주입을 방지합니다.

예:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>

설명:

• FILTER_VALIDATE_INT는 나이가 유효한 정수인지 확인합니다.
• FILTER_SANITIZE_STRING은 사용자 이름에서 HTML 태그나 특수 문자를 제거합니다.

이러한 방법을 구현하면 PHP 애플리케이션이 일반적인 취약점으로부터 더 잘 보호됩니다. 모범 사례를 최신 상태로 유지하고 코드에 보안 조치를 지속적으로 적용하는 것이 중요합니다.

저와 연결하세요:@ LinkedIn을 통해 내 포트폴리오를 확인해 보세요.

내 GitHub 프로젝트에 별점을 주세요 ⭐️

위 내용은 일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!