PHP 취약점 정보 및 PHP 취약점을 방지하는 방법은 무엇입니까?-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP 취약점 정보 및 PHP 취약점을 방지하는 방법은 무엇입니까?

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 29, 2016 am 08:56 AM

cookiefilterphpsqlxss

XSS, sql 주입, 명령 실행, 업로드 취약점, 로컬 포함, 원격 포함, 권한 우회, 정보 유출, 쿠키 위조, CSRF(교차 사이트 요청) 등 몇 가지 유형의 취약점이 있습니다. 이러한 취약점은 PHP 언어에만 해당되는 것이 아닙니다. 이 기사에서는 PHP가 이러한 취약점을 효과적으로 방지할 수 있는 방법을 간단히 소개합니다.

1.xss + sql 주입(xss 공격에 대한 자세한 소개)

대부분은 자연스럽게 XSS 및 SQL 주입이며 프레임워크 유형이나 공용 파일의 경우 , 공개 파일에서 XSS 및 SQL 주입의 통합 필터링을 수행하는 것이 좋습니다. 다음과 같이 PHP에서 필터 함수를 작성합니다.

$_REQUEST = filter_xss($_REQUEST);

$_GET = filter_xss($_GET);

$_POST = filter_xss( $_POST);

$_COOKIE = filter_xss($_COOKIE);

$_POST = filter_sql($_POST);

$_GET = filter_sql($_GET );

$_COOKIE = filter_sql($_COOKIE);

$_REQUEST = filter_sql($_REQUEST);

가장 간단한 filter_xss 함수는 htmlspecialchars()

가장 간단한 filter_sql 함수는 mysql_real_escape_string()입니다

물론 이 filter_sql(SQL 주입 상세 방지)은 문자 및 검색 유형 주입만 필터링할 수 있고 숫자 유형을 처리할 수 있는 방법이 없다는 것은 누구나 알고 있습니다. 그러나 이 필터링 계층을 수행한 후에는 나중에 숫자 SQL 문에만 주의하면 된다는 사실도 보여줍니다. 이를 발견하면 intval 필터링을 추가하면 훨씬 쉬워집니다.

2. 명령 실행

명령어 실행은 키워드로 시작하는데, 총 3가지로 나눌 수 있습니다.

(1) PHP 코드 실행: eval, 등

(2) 셸 명령 실행: exec, passthru, system, shell_exec 등

(3) 파일 처리: fwrite, fopen, mkdir 등

이러한 카테고리의 경우 해당 매개변수가 사용자 제어 가능 여부에 주의해야 합니다.

3. 업로드 취약성

업로드 취약성은 처리 흐름을 주의 깊게 분석해야 하는 핵심 요소입니다. 가장 안전한 방법은 다음과 같습니다. 파일은 임의의 이름 지정 및 화이트리스트 접미사를 사용하여 저장됩니다. 두 번째로 주의할 점은 파일을 업로드할 수 있는 위치가 두 개 이상일 수 있다는 것입니다. 어떤 것도 놓치지 마세요. 특정 디렉터리에 갑자기 타사 편집기가 포함되는 상황이 발생할 수 있습니다.

파일 포함 취약점과 관련된 함수로는 include(), include_once(), require(), require_once(), file_get_contents() 등이 있습니다.

가장 흔한 것은 다운로드입니다. 예를 들어, 이 유형의 download.php?file=../../../etc/passwd입니다.

4. 권한 우회

권한 우회는 두 가지로 나눌 수 있습니다

(1) 배경 파일에 대한 무단 접근. 백그라운드 파일에는 세션 확인이 포함되어 있지 않아 이러한 문제가 발생하기 쉽습니다

(2) 사용자 격리가 구현되지 않았습니다. 예를 들어 mail.php?id=23은 메일을 표시한 다음 ID를 변경합니다. mail.php?id=24로 다른 사람의 편지를 볼 수 있습니다.코드 작성이 편리합니다. 모든 문자는 데이터 테이블에 저장되며 ID는 프런트 엔드에 표시될 때 클릭하기만 하면 됩니다. 그러나 사용자 격리나 소유권 확인이 되지 않아 무단 접근이 발생하기 쉽습니다.

이러한 취약점은 특정 은행에 대한 평가를 수행할 때 종종 발견됩니다.

5. 정보 유출

정보 유출은 상대적으로 위험도가 낮은 취약점으로 간주됩니다. 예를 들어 디렉터리 나열은 배포 문제이며 코드 감사와는 관련이 없습니다. 경로 및 소스코드 노출을 방지해야 합니다.

겉으로는 괜찮은 것 같지만, 하지만 요청이 xx.php?a[]=1이 되면, 즉 매개변수가 배열이 되면 에러가 발생하고 경로가 유출됩니다. 단, isset으로 판단하지는 않습니다. , 하나하나 방지하기에는 너무 번거롭기 때문에 구성 파일에서 끄거나, 오류 표시 기능을 끄려면 공개 파일에 다음 코드를 추가하는 것이 좋습니다. ?php error_reporting(0);?>

이전 PHP Diandiantong(phpddt.com) Register_globals의 위험성과 Magic Quotes 사용 지침을 소개하는 About PHP Vulnerability Prevention Strategies라는 기사가 있습니다.

위 내용은 PHP의 취약점과 PHP 취약점을 방지하는 방법을 소개합니다. , 관련 내용을 포함하여 PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.

성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

관련 기사

PHP vs. Python : 차이점 이해Apr 11, 2025 am 12:15 AM

PHP와 Python은 각각 고유 한 장점이 있으며 선택은 프로젝트 요구 사항을 기반으로해야합니다. 1.PHP는 간단한 구문과 높은 실행 효율로 웹 개발에 적합합니다. 2. Python은 간결한 구문 및 풍부한 라이브러리를 갖춘 데이터 과학 및 기계 학습에 적합합니다.

PHP : 죽어 가거나 단순히 적응하고 있습니까?Apr 11, 2025 am 12:13 AM

PHP는 죽지 않고 끊임없이 적응하고 진화합니다. 1) PHP는 1994 년부터 새로운 기술 트렌드에 적응하기 위해 여러 버전 반복을 겪었습니다. 2) 현재 전자 상거래, 컨텐츠 관리 시스템 및 기타 분야에서 널리 사용됩니다. 3) PHP8은 성능과 현대화를 개선하기 위해 JIT 컴파일러 및 기타 기능을 소개합니다. 4) Opcache를 사용하고 PSR-12 표준을 따라 성능 및 코드 품질을 최적화하십시오.

PHP의 미래 : 적응 및 혁신Apr 11, 2025 am 12:01 AM

PHP의 미래는 새로운 기술 트렌드에 적응하고 혁신적인 기능을 도입함으로써 달성 될 것입니다. 1) 클라우드 컴퓨팅, 컨테이너화 및 마이크로 서비스 아키텍처에 적응, Docker 및 Kubernetes 지원; 2) 성능 및 데이터 처리 효율을 향상시키기 위해 JIT 컴파일러 및 열거 유형을 도입합니다. 3) 지속적으로 성능을 최적화하고 모범 사례를 홍보합니다.

PHP의 초록 클래스 또는 인터페이스에 대한 특성과 언제 특성을 사용 하시겠습니까?Apr 10, 2025 am 09:39 AM

PHP에서, 특성은 방법 재사용이 필요하지만 상속에 적합하지 않은 상황에 적합합니다. 1) 특성은 클래스에서 다중 상속의 복잡성을 피할 수 있도록 수많은 방법을 허용합니다. 2) 특성을 사용할 때는 대안과 키워드를 통해 해결할 수있는 방법 충돌에주의를 기울여야합니다. 3) 성능을 최적화하고 코드 유지 보수성을 향상시키기 위해 특성을 과도하게 사용해야하며 단일 책임을 유지해야합니다.

DIC (Dependency Injection Container) 란 무엇이며 PHP에서 사용하는 이유는 무엇입니까?Apr 10, 2025 am 09:38 AM

의존성 주입 컨테이너 (DIC)는 PHP 프로젝트에 사용하기위한 객체 종속성을 관리하고 제공하는 도구입니다. DIC의 주요 이점에는 다음이 포함됩니다. 1. 디커플링, 구성 요소 독립적 인 코드는 유지 관리 및 테스트가 쉽습니다. 2. 유연성, 의존성을 교체 또는 수정하기 쉽습니다. 3. 테스트 가능성, 단위 테스트를 위해 모의 객체를 주입하기에 편리합니다.

SPL SplfixedArray 및 일반 PHP 어레이에 비해 성능 특성을 설명하십시오.Apr 10, 2025 am 09:37 AM

SplfixedArray는 PHP의 고정 크기 배열로, 고성능 및 메모리 사용이 필요한 시나리오에 적합합니다. 1) 동적 조정으로 인한 오버 헤드를 피하기 위해 생성 할 때 크기를 지정해야합니다. 2) C 언어 배열을 기반으로 메모리 및 빠른 액세스 속도를 직접 작동합니다. 3) 대규모 데이터 처리 및 메모리에 민감한 환경에 적합하지만 크기가 고정되어 있으므로주의해서 사용해야합니다.

PHP는 파일 업로드를 어떻게 단단히 처리합니까?Apr 10, 2025 am 09:37 AM

PHP는 $ \ _ 파일 변수를 통해 파일 업로드를 처리합니다. 보안을 보장하는 방법에는 다음이 포함됩니다. 1. 오류 확인 확인, 2. 파일 유형 및 크기 확인, 3 파일 덮어 쓰기 방지, 4. 파일을 영구 저장소 위치로 이동하십시오.

Null Coalescing 연산자 (??) 및 Null Coalescing 할당 연산자 (?? =)은 무엇입니까?Apr 10, 2025 am 09:33 AM

JavaScript에서는 NullCoalescingOperator (??) 및 NullCoalescingAssignmentOperator (?? =)를 사용할 수 있습니다. 1. 2. ??= 변수를 오른쪽 피연산자의 값에 할당하지만 변수가 무효 또는 정의되지 않은 경우에만. 이 연산자는 코드 로직을 단순화하고 가독성과 성능을 향상시킵니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

SublimeText3 Linux 새 버전

SublimeText3 Linux 최신 버전

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

VSCode Windows 64비트 다운로드

Microsoft에서 출시한 강력한 무료 IDE 편집기

mPDF

mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.