PHP가 현재 가장 인기 있는 웹 애플리케이션 프로그래밍 언어라는 것은 누구나 알고 있습니다. 그러나 다른 스크립팅 언어와 마찬가지로 PHP에도 몇 가지 위험한 보안 허점이 있습니다. 따라서 이 튜토리얼에서는 일반적인 PHP 보안 문제를 방지하는 데 도움이 되는 몇 가지 실용적인 팁을 살펴보겠습니다.
팁 1: 적절한 오류 보고 사용
일반적으로 개발 과정에서 많은 프로그래머는 항상 프로그램 오류 보고서를 작성하는 것을 잊어버립니다. 적절한 오류 보고서는 최고의 디버깅 도구일 뿐만 아니라 뛰어난 보안 취약점 탐지 도구이기 때문에 이는 큰 실수입니다. 응용 프로그램이 실제로 시작되기 전에 직면하게 될 문제를 최대한 많이 찾으십시오.
물론 오류 보고를 활성화하는 방법에는 여러 가지가 있습니다. 예를 들어, php.in 구성 파일에서 런타임에 활성화되도록 설정할 수 있습니다.
오류 보고 시작
error_reporting(E_ALL);
오류 보고 비활성화
error_reporting(0);
팁 2: PHP의 Weak 속성을 사용하지 마세요
OFF로 설정해야 하는 몇 가지 PHP 속성이 있습니다. 일반적으로 PHP4에는 존재하지만 PHP5에서는 사용하지 않는 것이 좋습니다. 특히 PHP6에서는 이러한 속성이 제거되었습니다.
전역 변수 등록
register_globals를 ON으로 설정하면 환경 설정과 동일하며 GET, POST, COOKIE 또는 서버 변수가 전역 변수로 정의됩니다. 현재로서는 'username' 형식 변수를 얻기 위해 $_POST['username']을 작성할 필요가 없습니다. 이 변수를 얻으려면 '$username'만 필요합니다.
그렇다면 Register_globals를 ON으로 설정하면 이렇게 편리한 장점이 있으니 사용해 보는 것은 어떨까요? 이렇게 하면 많은 보안 문제가 발생하고 로컬 변수 이름과 충돌할 수도 있기 때문입니다.
예를 들어 다음 코드를 살펴보세요.
if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty( $_POST['password'] ) && $_POST['password'] == “pass123″ )
{
$access = true;
}
런타임 중에 Register_globals가 ON으로 설정되면 사용자는 PHP 스크립트가 실행하는 모든 것을 가져오기 위해 쿼리 문자열에 access=1만 전달하면 됩니다.
.htaccess에서 전역 변수 비활성화
php_flag register_globals 0
php.ini에서 전역 변수 비활성화
register_globals = Off
Magic_quotes_gpc, Magic_quotes_runtime, Magic_quotes_sybase와 같은 Magic Quotes를 비활성화합니다.
.htaccess 파일에서
설정php_flag magic_quotes_gpc 0 php_flag magic_quotes_runtime 0
php.ini에 설정
magic_quotes_gpc = Off magic_quotes_runtime = Off magic_quotes_sybase = Off
팁 3: 사용자 입력 유효성 검사
물론 사용자 입력의 유효성을 검사할 수도 있습니다. 먼저 사용자가 입력할 것으로 예상되는 데이터 유형을 알아야 합니다. 이러한 방식으로 브라우저 측에서 사용자가 악의적으로 공격하는 것을 방지할 수 있습니다.
팁 4: 사용자의 크로스 사이트 스크립팅 공격 방지
웹 애플리케이션에서는 양식에 사용자 입력을 수락한 다음 결과에 피드백을 주는 것이 간단합니다. 사용자 입력을 받을 때 HTML 형식 입력을 허용하는 것은 매우 위험합니다. 왜냐하면 이렇게 하면 JavaScript가 예측할 수 없는 방식으로 침입하여 직접 실행될 수도 있기 때문입니다. 이러한 취약점이 하나만 존재하더라도 쿠키 데이터를 탈취할 수 있으며, 사용자의 계정을 탈취할 수도 있습니다.
팁 5: SQL 주입 공격 방지
PHP는 기본적으로 데이터베이스를 보호하기 위한 도구를 제공하지 않으므로 데이터베이스에 접속할 때 다음과 같은 mysqli_real_escape_string 함수를 사용할 수 있습니다.
$username = mysqli_real_escape_string( $GET['username'] ); mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);
이 짧은 기사에서는 개발 과정에서 무시할 수 없는 몇 가지 PHP 보안 문제에 대해 자세히 설명합니다. 하지만 이를 사용할지, 어떻게 사용할지는 궁극적으로 개발자의 몫입니다. 이 기사가 도움이 되기를 바랍니다.
위의 내용은 보안 수준이 높은 PHP 웹사이트를 만들기 위한 몇 가지 실용적인 사항을 소개하며, PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.
PHP vs. Python : 차이점 이해Apr 11, 2025 am 12:15 AMPHP와 Python은 각각 고유 한 장점이 있으며 선택은 프로젝트 요구 사항을 기반으로해야합니다. 1.PHP는 간단한 구문과 높은 실행 효율로 웹 개발에 적합합니다. 2. Python은 간결한 구문 및 풍부한 라이브러리를 갖춘 데이터 과학 및 기계 학습에 적합합니다.
PHP : 죽어 가거나 단순히 적응하고 있습니까?Apr 11, 2025 am 12:13 AMPHP는 죽지 않고 끊임없이 적응하고 진화합니다. 1) PHP는 1994 년부터 새로운 기술 트렌드에 적응하기 위해 여러 버전 반복을 겪었습니다. 2) 현재 전자 상거래, 컨텐츠 관리 시스템 및 기타 분야에서 널리 사용됩니다. 3) PHP8은 성능과 현대화를 개선하기 위해 JIT 컴파일러 및 기타 기능을 소개합니다. 4) Opcache를 사용하고 PSR-12 표준을 따라 성능 및 코드 품질을 최적화하십시오.
PHP의 미래 : 적응 및 혁신Apr 11, 2025 am 12:01 AMPHP의 미래는 새로운 기술 트렌드에 적응하고 혁신적인 기능을 도입함으로써 달성 될 것입니다. 1) 클라우드 컴퓨팅, 컨테이너화 및 마이크로 서비스 아키텍처에 적응, Docker 및 Kubernetes 지원; 2) 성능 및 데이터 처리 효율을 향상시키기 위해 JIT 컴파일러 및 열거 유형을 도입합니다. 3) 지속적으로 성능을 최적화하고 모범 사례를 홍보합니다.
PHP의 초록 클래스 또는 인터페이스에 대한 특성과 언제 특성을 사용 하시겠습니까?Apr 10, 2025 am 09:39 AMPHP에서, 특성은 방법 재사용이 필요하지만 상속에 적합하지 않은 상황에 적합합니다. 1) 특성은 클래스에서 다중 상속의 복잡성을 피할 수 있도록 수많은 방법을 허용합니다. 2) 특성을 사용할 때는 대안과 키워드를 통해 해결할 수있는 방법 충돌에주의를 기울여야합니다. 3) 성능을 최적화하고 코드 유지 보수성을 향상시키기 위해 특성을 과도하게 사용해야하며 단일 책임을 유지해야합니다.
DIC (Dependency Injection Container) 란 무엇이며 PHP에서 사용하는 이유는 무엇입니까?Apr 10, 2025 am 09:38 AM의존성 주입 컨테이너 (DIC)는 PHP 프로젝트에 사용하기위한 객체 종속성을 관리하고 제공하는 도구입니다. DIC의 주요 이점에는 다음이 포함됩니다. 1. 디커플링, 구성 요소 독립적 인 코드는 유지 관리 및 테스트가 쉽습니다. 2. 유연성, 의존성을 교체 또는 수정하기 쉽습니다. 3. 테스트 가능성, 단위 테스트를 위해 모의 객체를 주입하기에 편리합니다.
SPL SplfixedArray 및 일반 PHP 어레이에 비해 성능 특성을 설명하십시오.Apr 10, 2025 am 09:37 AMSplfixedArray는 PHP의 고정 크기 배열로, 고성능 및 메모리 사용이 필요한 시나리오에 적합합니다. 1) 동적 조정으로 인한 오버 헤드를 피하기 위해 생성 할 때 크기를 지정해야합니다. 2) C 언어 배열을 기반으로 메모리 및 빠른 액세스 속도를 직접 작동합니다. 3) 대규모 데이터 처리 및 메모리에 민감한 환경에 적합하지만 크기가 고정되어 있으므로주의해서 사용해야합니다.
PHP는 파일 업로드를 어떻게 단단히 처리합니까?Apr 10, 2025 am 09:37 AMPHP는 $ \ _ 파일 변수를 통해 파일 업로드를 처리합니다. 보안을 보장하는 방법에는 다음이 포함됩니다. 1. 오류 확인 확인, 2. 파일 유형 및 크기 확인, 3 파일 덮어 쓰기 방지, 4. 파일을 영구 저장소 위치로 이동하십시오.
Null Coalescing 연산자 (??) 및 Null Coalescing 할당 연산자 (?? =)은 무엇입니까?Apr 10, 2025 am 09:33 AMJavaScript에서는 NullCoalescingOperator (??) 및 NullCoalescingAssignmentOperator (?? =)를 사용할 수 있습니다. 1. 2. ??= 변수를 오른쪽 피연산자의 값에 할당하지만 변수가 무효 또는 정의되지 않은 경우에만. 이 연산자는 코드 로직을 단순화하고 가독성과 성능을 향상시킵니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
PhpStorm 맥 버전
최신(2018.2.1) 전문 PHP 통합 개발 도구
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
