1. 크로스 사이트 스크립팅 공격 방지
크로스 사이트 스크립팅 공격(이하 XSS), 즉 , 웹 애플리케이션은 사용자 사용자 데이터로부터 정보를 수집합니다. 공격자는 방문자를 혼란스럽게 하고 방문자 정보를 수집하기 위해 취약한 웹 애플리케이션에 JavaScript, VBScript, ActiveX, HTML 또는 Flash를 삽입하는 경우가 많습니다. 예를 들어, 잘못 설계된 포럼 시스템은 확인하지 않고 사용자 입력을 표시할 수 있습니다. 공격자는 악성 JavaScript 코드 조각을 게시물 콘텐츠에 삽입할 수 있습니다. 이런 방식으로 다른 방문자가 이 게시물을 읽을 때 방문자의 컴퓨터에서 이러한 JavaScript 코드가 실행될 수 있습니다.
XSS 공격을 예방하기 위한 가장 중요한 조치 중 하나는 사용자가 입력한 콘텐츠를 표시하기 전 콘텐츠 검사입니다. 예를 들어 콘텐츠에서 HTML을 이스케이프할 수 있습니다. 그러나 이 방법을 사용하면 모든 HTML 태그가 비활성화되므로 이 방법을 사용하지 않는 경우도 있습니다.
Yii는 HTMLPurifier를 통합하고 개발자에게 HTMLPurifier 클래스를 캡슐화하는 매우 유용한 구성 요소인 CHtmlPurifier를 제공합니다. 효과적인 검토, 보안 및 화이트리스트 기능을 통해 감사된 콘텐츠에서 모든 악성 코드를 제거하고 필터링 후 필터링된 콘텐츠가 표준을 충족하는지 확인할 수 있습니다.
CHtmlPurifier 구성 요소는 위젯이나 필터로 사용할 수 있습니다. CHtmlPurifier를 위젯으로 사용하면 뷰에 표시된 콘텐츠를 안전하게 필터링할 수 있습니다. 다음은 코드 예시입니다.
<?php $this->beginWidget('CHtmlPurifier'); ?>
//...这里显示用户输入的内容...
<?php $this->endWidget(); ?>
2. 공격
교차 사이트 요청 위조(CSRF라고도 함) 공격, 즉 사용자의 브라우저가 악성 웹사이트를 방문할 때 공격자는 사용자의 브라우저가 신뢰할 수 있는 웹사이트에 대해 공격자가 지정한 요청을 시작하도록 합니다. 예를 들어 악성 웹사이트에는 이미지가 있고 이 이미지의 src 주소는 은행 웹사이트 http://www.php.cn/를 가리킵니다. 사용자가 은행 웹사이트에 로그인한 후 이 악성 웹페이지를 방문하면 사용자의 브라우저는 은행 웹사이트로 '공격자 계좌로 10,000위안을 이체하라'는 지시문을 보낼 수 있다. 크로스 사이트 공격은 사용자가 신뢰하는 특정 웹사이트를 이용하는 반면, CSRF 공격은 반대로 웹사이트에서 사용자의 특정 사용자 ID를 이용합니다.
CSRF 공격을 방지하려면 한 가지를 기억해야 합니다. GET요청은 데이터 검색만 허용되며 서버의 데이터를 수정할 수 없습니다. POST 요청에는 양식 데이터의 소스와 실행 결과의 대상이 동일한지 확인하기 위해 서버에서 인식할 수 있는 임의의 값이 포함되어야 합니다.
Yii는 POST 기반 공격을 방지하기 위해 CSRF 방지 메커니즘을 구현합니다. 이 메커니즘의 핵심은 쿠키에 임의의 데이터를 설정한 다음 이를 양식에서 제출된 POST 데이터의 해당 값과 비교하는 것입니다.
기본적으로 CSRF 방지는 비활성화되어 있습니다. 이를 활성화하려면 애플리케이션 구성에서 구성 요소의 CHttpRequest 섹션을 편집하면 됩니다.
코드 예:
return array( 'components'=>array( 'request'=>array( 'enableCsrfValidation'=>true, ), ), );
양식을 표시하려면 CHtml을 사용하세요. ::HTML 코드를 직접 작성하는 대신 양식을 작성하세요. CHtml::form은 양식에 숨겨진 항목을 자동으로 포함할 수 있기 때문에 이 숨겨진 항목은 양식이 제출될 때 확인을 위해 서버로 전송될 수 있습니다.
3. 쿠키 공격 예방
쿠키를 공격으로부터 보호하는 것은 매우 중요합니다. 세션 ID는 일반적으로 쿠키에 저장되기 때문입니다. 공격자가 유효한 세션 ID를 훔치면 이 세션 ID에 해당하는 세션 정보를 사용할 수 있습니다.
몇 가지 주의사항은 다음과 같습니다.
SSL을 사용하여 보안 채널을 생성하고 HTTPS 연결을 통해서만 인증 쿠키를 보낼 수 있습니다. 이러한 방식으로 공격자는 전송된 쿠키를 해독할 수 없습니다.
쿠키 만료 시간을 설정합니다. 모든 쿠키 및 세션 토큰에 대해 이 작업을 수행합니다. 이렇게 하면 공격받을 가능성이 줄어듭니다.
사용자 브라우저에서 임의 코드를 실행하여 사용자 쿠키가 유출될 수 있으므로 크로스 사이트 코드 공격을 방지합니다.
쿠키가 변경되면 쿠키의 내용을 확인하세요.
Yii는 쿠키가 수정되는 것을 방지하기 위해 쿠키 확인 메커니즘을 구현합니다. 활성화한 후 쿠키 값에 대한 HMAC 검사를 수행할 수 있습니다.
쿠키 확인은 기본적으로 비활성화되어 있습니다. 이를 활성화하려면 애플리케이션 구성에서 구성 요소의 CHttpRequest 섹션을 편집하면 됩니다.
코드 예:
return array( 'components'=>array( 'request'=>array( 'enableCookieValidation'=>true, ), ), );
Yii 검증 쿠키를 사용하세요. 데이터. 쿠키 작업에는 Yii에 내장된 쿠키 구성요소를 사용하세요. $_COOKIES를 사용하지 마세요.
// 检索一个名为$name的cookie值 $cookie=Yii::app()->request->cookies[$name]; $value=$cookie->value; ...... // 设置一个cookie $cookie=new CHttpCookie($name,$value); Yii::app()->request->cookies[$name]=$cookie;
위 내용은 Yii Framework 공식 가이드 시리즈 51 - 특별 주제: 보안 조치(보안)의 내용입니다. 더 많은 관련 내용을 보려면 PHP 중국어를 참고하세요. 홈페이지(www.php.cn)!
PHP의 현재 상태 : 웹 개발 동향을 살펴보십시오Apr 13, 2025 am 12:20 AMPHP는 현대 웹 개발, 특히 컨텐츠 관리 및 전자 상거래 플랫폼에서 중요합니다. 1) PHP는 Laravel 및 Symfony와 같은 풍부한 생태계와 강력한 프레임 워크 지원을 가지고 있습니다. 2) Opcache 및 Nginx를 통해 성능 최적화를 달성 할 수 있습니다. 3) PHP8.0은 성능을 향상시키기 위해 JIT 컴파일러를 소개합니다. 4) 클라우드 네이티브 애플리케이션은 Docker 및 Kubernetes를 통해 배포되어 유연성과 확장 성을 향상시킵니다.
PHP 대 기타 언어 : 비교Apr 13, 2025 am 12:19 AMPHP는 특히 빠른 개발 및 동적 컨텐츠를 처리하는 데 웹 개발에 적합하지만 데이터 과학 및 엔터프라이즈 수준의 애플리케이션에는 적합하지 않습니다. Python과 비교할 때 PHP는 웹 개발에 더 많은 장점이 있지만 데이터 과학 분야에서는 Python만큼 좋지 않습니다. Java와 비교할 때 PHP는 엔터프라이즈 레벨 애플리케이션에서 더 나빠지지만 웹 개발에서는 더 유연합니다. JavaScript와 비교할 때 PHP는 백엔드 개발에서 더 간결하지만 프론트 엔드 개발에서는 JavaScript만큼 좋지 않습니다.
PHP vs. Python : 핵심 기능 및 기능Apr 13, 2025 am 12:16 AMPHP와 Python은 각각 고유 한 장점이 있으며 다양한 시나리오에 적합합니다. 1.PHP는 웹 개발에 적합하며 내장 웹 서버 및 풍부한 기능 라이브러리를 제공합니다. 2. Python은 간결한 구문과 강력한 표준 라이브러리가있는 데이터 과학 및 기계 학습에 적합합니다. 선택할 때 프로젝트 요구 사항에 따라 결정해야합니다.
PHP : 웹 개발의 핵심 언어Apr 13, 2025 am 12:08 AMPHP는 서버 측에서 널리 사용되는 스크립팅 언어이며 특히 웹 개발에 적합합니다. 1.PHP는 HTML을 포함하고 HTTP 요청 및 응답을 처리 할 수 있으며 다양한 데이터베이스를 지원할 수 있습니다. 2.PHP는 강력한 커뮤니티 지원 및 오픈 소스 리소스를 통해 동적 웹 컨텐츠, 프로세스 양식 데이터, 액세스 데이터베이스 등을 생성하는 데 사용됩니다. 3. PHP는 해석 된 언어이며, 실행 프로세스에는 어휘 분석, 문법 분석, 편집 및 실행이 포함됩니다. 4. PHP는 사용자 등록 시스템과 같은 고급 응용 프로그램을 위해 MySQL과 결합 할 수 있습니다. 5. PHP를 디버깅 할 때 error_reporting () 및 var_dump ()와 같은 함수를 사용할 수 있습니다. 6. 캐싱 메커니즘을 사용하여 PHP 코드를 최적화하고 데이터베이스 쿼리를 최적화하며 내장 기능을 사용하십시오. 7
PHP : 많은 웹 사이트의 기초Apr 13, 2025 am 12:07 AMPHP가 많은 웹 사이트에서 선호되는 기술 스택 인 이유에는 사용 편의성, 강력한 커뮤니티 지원 및 광범위한 사용이 포함됩니다. 1) 배우고 사용하기 쉽고 초보자에게 적합합니다. 2) 거대한 개발자 커뮤니티와 풍부한 자원이 있습니다. 3) WordPress, Drupal 및 기타 플랫폼에서 널리 사용됩니다. 4) 웹 서버와 밀접하게 통합하여 개발 배포를 단순화합니다.
과대 광고 : 오늘 PHP의 역할을 평가합니다Apr 12, 2025 am 12:17 AMPHP는 현대적인 프로그래밍, 특히 웹 개발 분야에서 강력하고 널리 사용되는 도구로 남아 있습니다. 1) PHP는 사용하기 쉽고 데이터베이스와 완벽하게 통합되며 많은 개발자에게 가장 먼저 선택됩니다. 2) 동적 컨텐츠 생성 및 객체 지향 프로그래밍을 지원하여 웹 사이트를 신속하게 작성하고 유지 관리하는 데 적합합니다. 3) 데이터베이스 쿼리를 캐싱하고 최적화함으로써 PHP의 성능을 향상시킬 수 있으며, 광범위한 커뮤니티와 풍부한 생태계는 오늘날의 기술 스택에 여전히 중요합니다.
PHP의 약한 참고 자료는 무엇이며 언제 유용합니까?Apr 12, 2025 am 12:13 AMPHP에서는 약한 참조가 약한 회의 클래스를 통해 구현되며 쓰레기 수집가가 물체를 되 찾는 것을 방해하지 않습니다. 약한 참조는 캐싱 시스템 및 이벤트 리스너와 같은 시나리오에 적합합니다. 물체의 생존을 보장 할 수 없으며 쓰레기 수집이 지연 될 수 있음에 주목해야합니다.
PHP의 __invoke 마법 방법을 설명하십시오.Apr 12, 2025 am 12:07 AM\ _ \ _ 호출 메소드를 사용하면 객체를 함수처럼 호출 할 수 있습니다. 1. 객체를 호출 할 수 있도록 메소드를 호출하는 \ _ \ _ 정의하십시오. 2. $ obj (...) 구문을 사용할 때 PHP는 \ _ \ _ invoke 메소드를 실행합니다. 3. 로깅 및 계산기, 코드 유연성 및 가독성 향상과 같은 시나리오에 적합합니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
MinGW - Windows용 미니멀리스트 GNU
이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
