PHP는 가장 널리 사용되는 스크립팅 프로그래밍 언어 중 하나입니다. 시장 점유율은 지배적인 위치에 대해 많은 것을 말해줍니다. PHP 7이 출시되었다는 사실은 이 프로그래밍 언어를 현재 개발자에게 더욱 매력적으로 만듭니다. 몇 가지 변화에도 불구하고 많은 개발자들은 PHP의 미래에 대해 회의적입니다. 한 가지 이유는 PHP의 보안입니다.
Linux 관리자는 PHP 보안 포인트 10가지를 알아야 합니다.
PHP는 가장 널리 사용되는 스크립트 언어 중 하나입니다. 시장 점유율은 지배적인 위치에 대해 많은 것을 말해줍니다. PHP 7이 출시되었다는 사실은 이 프로그래밍 언어를 현재 개발자에게 더욱 매력적으로 만듭니다. 몇 가지 변화에도 불구하고 많은 개발자들은 PHP의 미래에 대해 회의적입니다. 한 가지 이유는 PHP의 보안입니다.
PHP의 보안은 개발자의 주요 관심사입니다. PHP는 내부적으로 견고한 보안을 제공하지만 이러한 보안 메커니즘을 올바르게 구현하는 것은 개발자의 몫입니다. 이 기사에서는 Linux 관리자를 위한 몇 가지 PHP 보안 포인트를 소개합니다. 이러한 사항은 웹 애플리케이션을 보호하고 장기적으로 적절한 기능을 보장하는 데 도움이 됩니다.
시작하기 전에 우리가 다루고 있는 시스템을 이해하는 것이 필요합니다. 데모 목적으로 Fedora를 사용합니다. 그러나 이러한 사항은 Ubuntu 버전 또는 기타 Linux 배포판에 적용되어야 합니다. 자세한 내용은 운영 체제 배포 설명서를 확인하세요.
우리 시스템 환경의 몇 가지 주요 파일을 자세히 살펴보겠습니다. 파일은 다음과 유사하거나 일치해야 합니다.
기본 웹 서버: Apache
DocumentRoot: /var/www/html
PHP 구성 파일: /etc/php . ini
확장 구성 디렉터리: /etc/php.d/
보안 파일: /etc/php.d/security.ini
이 팁은 귀하의 웹사이트를 보호합니다. SQL 삽입, XSS, 사이트 간 요청 위조 공격, eval() 및 파일 업로드 공격과 같은 다양한 유형의 일반적인 공격을 방지합니다. 일반적인 공격 목록은 여기(https://www.sitepoint.com/top-10-php-security-vulnerability/)에서 확인할 수 있습니다.
1. 불필요한 모듈을 삭제합니다.
PHP에는 PHP 모듈이 내장되어 있습니다. 많은 작업에 유용하지만 모든 프로젝트에 필요한 것은 아닙니다. 사용 가능한 PHP 모듈을 보려면 다음 명령을 입력하세요.
# php - m
목록을 확인한 후 이제 불필요한 모듈을 삭제할 수 있습니다. 모듈 수를 줄이면 작업 중인 웹 애플리케이션의 성능과 보안을 향상하는 데 도움이 됩니다.
2. PHP 정보 유출을 제한하세요.
플랫폼의 주요 정보가 유출되는 것은 흔한 일입니다. 예를 들어 PHP는 버전, 서버에 설치되었다는 사실 등의 정보를 유출합니다. 이는 hide_php 명령을 통해 달성할 수 있습니다. 누출을 방지하려면 /etc/php.d/security.ini에서 이 명령을 off로 설정해야 합니다.
expose_php=Off
버전과 상태를 알고 싶다면 웹사이트 주소에 대해 간단한 Curl 명령어를 실행하면 정보를 얻을 수 있습니다.
Curl - I http://www.kubiji.cn/index.php
이전 명령은 다음 정보를 반환합니다.
HTTP/1.1 200 OK
X-Powered-By: PHP/7.0.10
Content-type: text/html; charset=UTF-8
3.
원격 코드 실행은 PHP 보안 시스템의 일반적인 보안 취약점 중 하나입니다. 기본적으로 시스템에서는 원격 코드 실행이 활성화되어 있습니다. "allow_url_fopen" 명령을 사용하면 require, include 또는 URL 인식 fopen 래퍼와 같은 기능이 PHP 파일에 직접 액세스할 수 있습니다. 원격 액세스는 HTTP 또는 FTP 프로토콜을 사용하여 이루어지며, 이로 인해 시스템이 코드 주입 보안 취약점을 방어할 수 없게 됩니다.
시스템이 원격 코드 실행으로부터 안전한지 확인하려면 아래와 같이 이 명령을 "끄기"로 설정할 수 있습니다.
Allow_url_fopen=Off
allow_url_include =Off
4. PHP 오류를 기록합니다.
웹 애플리케이션의 보안을 강화하는 또 다른 간단한 방법은 방문자에게 오류를 표시하지 않는 것입니다. 이렇게 하면 해커가 웹사이트의 보안을 전혀 침해할 수 없게 됩니다. /etc/php.d/security.ini 파일에서 편집해야 합니다.
display_errors=Off
이제 이 단계를 완료한 후 "개발자가 오류 메시지의 도움 없이 어떻게 디버깅할 수 있지?"라고 생각할 수 있습니다. 개발자는 디버깅을 위해 log_errors 명령을 사용할 수 있습니다. security.ini 파일에서 log_errors 명령을 "On"으로 설정하기만 하면 됩니다.
log_errors=On
error_log=/var/log/httpd/php_scripts_error.log
5. 리소스를 합리적으로 제어합니다.
애플리케이션의 보안을 보장하려면 리소스를 제어하는 것이 중요합니다. 적절한 실행과 보안을 보장하려면 PHP 스크립트 실행을 제한해야 합니다. 또한 요청 데이터를 구문 분석하는 데 소요되는 시간에도 제한이 있어야 합니다. 실행 시간을 제어하는 경우 스크립트에서 사용하는 메모리와 같은 다른 리소스도 이에 맞게 구성해야 합니다. 이러한 모든 지표는 security.ini 파일을 편집하여 관리할 수 있습니다.
#초 단위로 설정
max_execution_time = 25
max_input_time = 25
memory_limit = 30M
6. 위험한 PHP 기능 비활성화
PHP는 개발에 유용한 기능을 제공하지만 해커가 PHP에 침입하는 데 사용될 수도 있습니다. 웹 애플리케이션을 위한 다양한 기능. 이러한 기능을 비활성화하면 전반적인 보안이 향상되고 위험한 PHP 기능에 노출되지 않습니다.
이렇게 하려면 먼저 php.ini 파일을 편집해야 합니다. 파일 내부에서 비활성화_functions 명령을 찾아 내부의 위험한 기능을 비활성화하십시오. 이렇게 하려면 다음 코드를 복사하여 붙여넣으면 됩니다.
disable_functions =exec,passthru,
shell_exec,system,proc_open,popen,curl_exec,
curl_multi_exec,parse_ini_file,show_source
여기에서 할 수 있습니다( https ://www.eukhost.com/blog/webhosting/dangerous-php-functions-must-be-disabled/) 위험한 PHP 기능을 비활성화하는 방법에 대해 자세히 알아보세요.
7. 파일을 업로드합니다.
애플리케이션에 파일 업로드가 필요하지 않은 경우 파일 업로드 기능을 비활성화하면 보안을 강화하는 데 도움이 될 수 있습니다. 사용자가 파일을 업로드하는 것을 금지하려면 /etc/php.d/ 디렉터리에 있는 security.ini 파일을 편집하고 file_uploads 명령을 OFF로 설정하기만 하면 됩니다.
file_uploads=끄기
8. 최신 버전을 유지하세요.
개발자는 귀하가 사용하는 기술을 패치하기 위해 연중무휴로 노력하고 있습니다. PHP도 마찬가지입니다. 오픈 소스 커뮤니티가 있으므로 패치와 수정 사항이 정기적으로 릴리스됩니다. 업데이트된 버전은 최초의 취약점과 기타 보안 취약점에 대한 보안 패치도 제공합니다. 애플리케이션 보안에 관심이 있다면 항상 PHP 솔루션이 최신 상태인지 확인하세요. 또한, 기타 관련 기술에 최신 패치를 적용하면 최대한의 보안을 확보할 수 있습니다.
9. 파일 시스템 액세스를 제어합니다.
기본적으로 PHP는 fopen()과 같은 함수를 사용하여 파일에 액세스할 수 있습니다. open_basedir 명령을 통해 액세스가 제공됩니다. 먼저, 항상 open_basedir 명령을 /var/www/html 디렉토리로 설정하십시오. 다른 디렉터리로 설정하면 보안 문제가 발생할 수 있습니다.
open_basedir="/var/www/html/"
10. POST 크기를 제어합니다.
마지막 PHP 보안 포인트는 POST 크기 제어 기능입니다. HTTP POST 기능은 클라이언트의 브라우저를 사용하여 웹 서버에 데이터를 보냅니다. 예를 들어, 사용자는 인증서를 업로드한 다음 처리를 위해 웹 브라우저로 보낼 수 있습니다. 모든 것이 순조롭게 진행되던 어느 날 해커가 서버 리소스를 고갈시키는 대용량 파일을 보내려고 시도했습니다. 이로 인해 서버가 충돌하거나 느리게 응답할 가능성이 높습니다. 이 취약점으로부터 서버를 보호하려면 POST 크기를 설정해야 합니다. POST 크기는 /etc/php.d/security.ini 파일에서 설정할 수 있습니다.
post_max_size=1k
결론
보안은 웹 개발자와 Linux 관리자에게 가장 우려되는 문제 중 하나입니다. 위의 사항을 준수한다면 개발 환경과 PHP 웹 애플리케이션의 보안을 강화할 수 있을 것입니다. 중요한 내용을 놓쳤다고 생각되면 메시지를 남겨서 추가하세요.
스칼라 유형, 반환 유형, 노조 유형 및 무효 유형을 포함한 PHP 유형의 힌트 작업은 어떻게 작동합니까?Apr 17, 2025 am 12:25 AMPHP 유형은 코드 품질과 가독성을 향상시키기위한 프롬프트입니다. 1) 스칼라 유형 팁 : PHP7.0이므로 int, float 등과 같은 기능 매개 변수에 기본 데이터 유형을 지정할 수 있습니다. 2) 반환 유형 프롬프트 : 기능 반환 값 유형의 일관성을 확인하십시오. 3) Union 유형 프롬프트 : PHP8.0이므로 기능 매개 변수 또는 반환 값에 여러 유형을 지정할 수 있습니다. 4) Nullable 유형 프롬프트 : NULL 값을 포함하고 널 값을 반환 할 수있는 기능을 포함 할 수 있습니다.
PHP는 객체 클로닝 (클론 키워드) 및 __clone 마법 방법을 어떻게 처리합니까?Apr 17, 2025 am 12:24 AMPHP에서는 클론 키워드를 사용하여 객체 사본을 만들고 \ _ \ _ Clone Magic 메소드를 통해 클로닝 동작을 사용자 정의하십시오. 1. 복제 키워드를 사용하여 얕은 사본을 만들어 객체의 속성을 복제하지만 객체의 속성은 아닙니다. 2. \ _ \ _ 클론 방법은 얕은 복사 문제를 피하기 위해 중첩 된 물체를 깊이 복사 할 수 있습니다. 3. 복제의 순환 참조 및 성능 문제를 피하고 클로닝 작업을 최적화하여 효율성을 향상시키기 위해주의를 기울이십시오.
PHP vs. Python : 사용 사례 및 응용 프로그램Apr 17, 2025 am 12:23 AMPHP는 웹 개발 및 컨텐츠 관리 시스템에 적합하며 Python은 데이터 과학, 기계 학습 및 자동화 스크립트에 적합합니다. 1.PHP는 빠르고 확장 가능한 웹 사이트 및 응용 프로그램을 구축하는 데 잘 작동하며 WordPress와 같은 CMS에서 일반적으로 사용됩니다. 2. Python은 Numpy 및 Tensorflow와 같은 풍부한 라이브러리를 통해 데이터 과학 및 기계 학습 분야에서 뛰어난 공연을했습니다.
다른 HTTP 캐싱 헤더 (예 : 캐시 제어, ETAG, 최종 수정)를 설명하십시오.Apr 17, 2025 am 12:22 AMHTTP 캐시 헤더의 주요 플레이어에는 캐시 제어, ETAG 및 최종 수정이 포함됩니다. 1. 캐시 제어는 캐싱 정책을 제어하는 데 사용됩니다. 예 : 캐시 제어 : Max-AGE = 3600, 공개. 2. ETAG는 고유 식별자를 통해 리소스 변경을 확인합니다. 예 : ETAG : "686897696A7C876B7E". 3. Last-modified는 리소스의 마지막 수정 시간을 나타냅니다. 예 : 마지막으로 변형 : Wed, 21oct201507 : 28 : 00GMT.
PHP에서 보안 비밀번호 해싱을 설명하십시오 (예 : Password_hash, Password_Verify). 왜 MD5 또는 SHA1을 사용하지 않습니까?Apr 17, 2025 am 12:06 AMPHP에서 Password_hash 및 Password_Verify 기능을 사용하여 보안 비밀번호 해싱을 구현해야하며 MD5 또는 SHA1을 사용해서는 안됩니다. 1) Password_hash는 보안을 향상시키기 위해 소금 값이 포함 된 해시를 생성합니다. 2) Password_verify 암호를 확인하고 해시 값을 비교하여 보안을 보장합니다. 3) MD5 및 SHA1은 취약하고 소금 값이 부족하며 현대 암호 보안에는 적합하지 않습니다.
PHP : 서버 측 스크립팅 언어 소개Apr 16, 2025 am 12:18 AMPHP는 동적 웹 개발 및 서버 측 응용 프로그램에 사용되는 서버 측 스크립팅 언어입니다. 1.PHP는 편집이 필요하지 않으며 빠른 발전에 적합한 해석 된 언어입니다. 2. PHP 코드는 HTML에 포함되어 웹 페이지를 쉽게 개발할 수 있습니다. 3. PHP는 서버 측 로직을 처리하고 HTML 출력을 생성하며 사용자 상호 작용 및 데이터 처리를 지원합니다. 4. PHP는 데이터베이스와 상호 작용하고 프로세스 양식 제출 및 서버 측 작업을 실행할 수 있습니다.
PHP 및 웹 : 장기적인 영향 탐색Apr 16, 2025 am 12:17 AMPHP는 지난 수십 년 동안 네트워크를 형성했으며 웹 개발에서 계속 중요한 역할을 할 것입니다. 1) PHP는 1994 년에 시작되었으며 MySQL과의 원활한 통합으로 인해 개발자에게 최초의 선택이되었습니다. 2) 핵심 기능에는 동적 컨텐츠 생성 및 데이터베이스와의 통합이 포함되며 웹 사이트를 실시간으로 업데이트하고 맞춤형 방식으로 표시 할 수 있습니다. 3) PHP의 광범위한 응용 및 생태계는 장기적인 영향을 미쳤지 만 버전 업데이트 및 보안 문제에 직면 해 있습니다. 4) PHP7의 출시와 같은 최근 몇 년간의 성능 향상을 통해 현대 언어와 경쟁 할 수 있습니다. 5) 앞으로 PHP는 컨테이너화 및 마이크로 서비스와 같은 새로운 도전을 다루어야하지만 유연성과 활발한 커뮤니티로 인해 적응력이 있습니다.
PHP를 사용하는 이유는 무엇입니까? 설명 된 장점과 혜택Apr 16, 2025 am 12:16 AMPHP의 핵심 이점에는 학습 용이성, 강력한 웹 개발 지원, 풍부한 라이브러리 및 프레임 워크, 고성능 및 확장 성, 크로스 플랫폼 호환성 및 비용 효율성이 포함됩니다. 1) 배우고 사용하기 쉽고 초보자에게 적합합니다. 2) 웹 서버와 우수한 통합 및 여러 데이터베이스를 지원합니다. 3) Laravel과 같은 강력한 프레임 워크가 있습니다. 4) 최적화를 통해 고성능을 달성 할 수 있습니다. 5) 여러 운영 체제 지원; 6) 개발 비용을 줄이기위한 오픈 소스.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
