PHP 보안을 위한 10가지 필수 팁 공유-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP 보안을 위한 10가지 필수 팁 공유

藏色散人

Oct 26, 2020 pm 01:53 PM

php

안녕하세요, PHP 개발자. 이 기사에서는 PHP 애플리케이션의 보안을 향상시키기 위해 취할 수 있는 몇 가지 구체적인 단계를 제공하려고 합니다. 저는 PHP 구성 자체에 초점을 맞추고 있으므로 SQL 주입, HTTPS 또는 기타 PHP와 관련되지 않은 문제에 대해서는 논의하지 않겠습니다. PHP 보안을 위한 10가지 필수 팁 공유

내 docker-entrypoint.sh 스크립트의 bash 라인을 사용하여 예제를 설명하겠지만 물론 이것을 Docker가 아닌 환경에도 적용할 수 있습니다.

Sessionsdocker-entrypoint.sh脚本中的 bash 行来说明示例，但当然你可以将其应用于非 docker 环境。

Sessions

使用较长的 Session ID 长度

增加会话 id 长度会使攻击者更难猜到（通过暴力或更有可能的侧通道攻击）。长度可以介于22 到 256 个字符之间。默认值为 32。

sed -i -e "s/session.sid_length = 26/session.sid_length = 42/" /etc/php7/php.ini

(别问我为什么在 Alpine Linux 上是26…)

你可能还想查看 session.sid_bits_per_character。

使用具有限制权限的自定义会话保存路径

只有 nginx/php 需要访问会话，所以让我们将它们放在一个具有受限权限的特殊文件夹中。

sed -i -e "s:;session.save_path = \"/tmp\":session.save_path = \"/sessions\":" /etc/php7/php.ini
mkdir -p /sessions
chown nginx:nginx /sessions
chmod 700 /sessions

当然，如果你使用 Redis 处理会话，你并不需要关心这一部分；)

安全会话 Cookie

session.cookie_httponly来阻止 javascript 访问它们。更多信息。

sed -i -e "s/session.cookie_httponly.*/session.cookie_httponly = true/" /etc/php7/php.ini
sed -i -e "s/;session.cookie_secure.*/session.cookie_secure = true/" /etc/php7/php.ini

session.cookie_secure 防止你的 cookie 在明文 HTTP 上传输。

session.cookie_samesite 以防止跨站点攻击。仅适用于最新的 PHP/浏览器。

使用严格模式

由于 Cookie 规范，攻击者能够通过本地设置 Cookie 数据库或 JavaScript 注入来放置不可移除的会话 ID Cookie。session.use_strict_mode 可以防止使用攻击者初始化的会话 ID。

限制生存期

会话应与浏览器一起关闭。因此设置 session.cookie_lifetime 为0。

Open_basedir

open_basedir 是一个php.ini配置选项，允许你限制 PHP 可以访问的文件/目录。

sed -i -e "s#;open_basedir =#open_basedir = /elabftw/:/tmp/:/usr/bin/unzip#" /etc/php7/php.ini

这里我添加了 unzip，因为它是由 Composer 使用的。 /elabftw是所有源 php 文件所在的位置。我不记得为什么/tmp会在这里，但肯定有原因。

禁用功能

这一点要小心，因为你很容易搞砸一个应用程序。但这绝对值得调查。假设攻击者以某种方式上传了一个 webshell，如果正确禁用了，webshell 将不会真正工作，因为shell_exec

더 긴 세션 ID 길이 사용

세션 ID 길이를 늘리면 공격자가 추측하기가 더 어려워집니다(무차별 대입 공격이나 부채널 공격 가능성이 더 높음). 길이는 22~256자 사이일 수 있습니다. 기본값은 32입니다.

sed -i -e "s/disable_functions =/disable_functions = php_uname, getmyuid, getmypid, passthru, leak, listen, diskfreespace, tmpfile, link, ignore_user_abort, shell_exec, dl, system, highlight_file, source, show_source, fpaththru, virtual, posix_ctermid, posix_getcwd, posix_getegid, posix_geteuid, posix_getgid, posix_getgrgid, posix_getgrnam, posix_getgroups, posix_getlogin, posix_getpgid, posix_getpgrp, posix_getpid, posix_getppid, posix_getpwnam, posix_getpwuid, posix_getrlimit, posix_getsid, posix_getuid, posix_isatty, posix_kill, posix_mkfifo, posix_setegid, posix_seteuid, posix_setgid, posix_setpgid, posix_setsid, posix_setuid, posix_times, posix_ttyname, posix_uname, phpinfo/" /etc/php7/php.ini

(Alpine Linux에서 왜 26인지 묻지 마세요...)session.sid_bits_per_character를 확인하실 수도 있습니다.

제한된 권한이 있는 사용자 정의 세션 저장 경로를 사용하세요

nginx/php만 세션에 액세스해야 하므로 제한된 권한이 있는 특수 폴더에 넣겠습니다.

sed -i -e "s/allow_url_fopen = On/allow_url_fopen = Off/" /etc/php7/php.ini

물론 Redis를 사용하여 세션을 처리한다면 이 부분은 신경쓰실 필요가 없습니다;)

Secure Session Cookie

session.cookie_httponly

자바스크립트가 쿠키에 액세스하는 것을 방지합니다. 추가 정보

sed -i -e "s/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/g" /etc/php7/php.ini

session.cookie_secure

쿠키가 일반 텍스트 HTTP를 통해 전송되는 것을 방지하세요. 🎜🎜session.cookie_samesite🎜 사이트 간 공격을 방지합니다. 최신 PHP/브라우저에서만 작동합니다. 🎜🎜🎜엄격 모드 사용🎜🎜🎜쿠키 사양으로 인해 공격자는 쿠키 데이터베이스를 로컬로 설정하거나 JavaScript 주입을 통해 제거할 수 없는 세션 ID 쿠키를 배치할 수 있습니다. session.use_strict_mode🎜 공격자가 시작한 세션 ID의 사용을 방지합니다. 🎜🎜🎜수명 제한🎜🎜🎜세션은 브라우저와 함께 종료되어야 합니다. 따라서 session.cookie_lifetime🎜을 설정하세요. 0입니다. 🎜🎜🎜Open_basedir🎜🎜🎜open_basedir 🎜는 PHP가 액세스할 수 있는 파일/디렉터리를 제한할 수 있는 php.ini 구성 옵션입니다. 🎜

sed -i -e "s/expose_php = On/expose_php = Off/g" /etc/php7/php.ini

🎜여기서 unzip은 Composer에서 사용하기 때문에 추가했습니다. /elabftw는 모든 소스 PHP 파일이 있는 위치입니다. /tmp가 왜 여기에 있는지 기억이 나지 않지만 이유가 있을 것입니다. 🎜🎜🎜기능 비활성화🎜🎜🎜앱을 쉽게 망칠 수 있으므로 주의하세요. 하지만 확실히 조사해 볼 가치가 있습니다. 공격자가 어떻게든 웹셸을 업로드한다고 가정하고 올바르게 비활성화하면 웹셸은 실제로 작동하지 않습니다. shell_exec도 비활성화되고 마찬가지이기 때문입니다. elabftw에서 작동하는 목록을 제공했지만 100% 완전하지는 않습니다. 🎜rrreee🎜🎜Disable url_fopen🎜🎜🎜🎜allow_url_fopen🎜 이 옵션은 위험합니다. 비활성화하십시오. 자세한 내용은 🎜여기🎜를 참조하세요. 🎜rrreee🎜🎜Disable cgi.fix_pathinfo🎜🎜🎜PHP가 아닌 파일이 PHP 파일로 실행되는 것을 원하지 않으시죠? 그런 다음 이 기능을 비활성화하십시오. 🎜자세한 정보🎜. 🎜rrreee🎜🎜PHP 버전 숨기기🎜🎜🎜마지막으로 아무 생각 없이 🎜rrreee🎜지금은 그게 다입니다. 이 기사가 도움이 되기를 바라며 구성을 개선하시기 바랍니다 ;) 🎜🎜 중요한 내용을 놓친 경우 댓글로 알려주시기 바랍니다! 🎜

원본 주소: https://dev.to/elabftw/10-steps-for-securing-a-php-app-5fnp

번역 주소: https://learnku.com/php/t/50851

위 내용은 PHP 보안을 위한 10가지 필수 팁 공유의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명

이 기사는 learnku에서 복제됩니다. 침해가 있는 경우 admin@php.cn으로 문의하시기 바랍니다. 삭제

관련 기사

PHP의 초록 클래스 또는 인터페이스에 대한 특성과 언제 특성을 사용 하시겠습니까?Apr 10, 2025 am 09:39 AM

PHP에서, 특성은 방법 재사용이 필요하지만 상속에 적합하지 않은 상황에 적합합니다. 1) 특성은 클래스에서 다중 상속의 복잡성을 피할 수 있도록 수많은 방법을 허용합니다. 2) 특성을 사용할 때는 대안과 키워드를 통해 해결할 수있는 방법 충돌에주의를 기울여야합니다. 3) 성능을 최적화하고 코드 유지 보수성을 향상시키기 위해 특성을 과도하게 사용해야하며 단일 책임을 유지해야합니다.

DIC (Dependency Injection Container) 란 무엇이며 PHP에서 사용하는 이유는 무엇입니까?Apr 10, 2025 am 09:38 AM

의존성 주입 컨테이너 (DIC)는 PHP 프로젝트에 사용하기위한 객체 종속성을 관리하고 제공하는 도구입니다. DIC의 주요 이점에는 다음이 포함됩니다. 1. 디커플링, 구성 요소 독립적 인 코드는 유지 관리 및 테스트가 쉽습니다. 2. 유연성, 의존성을 교체 또는 수정하기 쉽습니다. 3. 테스트 가능성, 단위 테스트를 위해 모의 객체를 주입하기에 편리합니다.

SPL SplfixedArray 및 일반 PHP 어레이에 비해 성능 특성을 설명하십시오.Apr 10, 2025 am 09:37 AM

SplfixedArray는 PHP의 고정 크기 배열로, 고성능 및 메모리 사용이 필요한 시나리오에 적합합니다. 1) 동적 조정으로 인한 오버 헤드를 피하기 위해 생성 할 때 크기를 지정해야합니다. 2) C 언어 배열을 기반으로 메모리 및 빠른 액세스 속도를 직접 작동합니다. 3) 대규모 데이터 처리 및 메모리에 민감한 환경에 적합하지만 크기가 고정되어 있으므로주의해서 사용해야합니다.

PHP는 파일 업로드를 어떻게 단단히 처리합니까?Apr 10, 2025 am 09:37 AM

PHP는 $ \ _ 파일 변수를 통해 파일 업로드를 처리합니다. 보안을 보장하는 방법에는 다음이 포함됩니다. 1. 오류 확인 확인, 2. 파일 유형 및 크기 확인, 3 파일 덮어 쓰기 방지, 4. 파일을 영구 저장소 위치로 이동하십시오.

Null Coalescing 연산자 (??) 및 Null Coalescing 할당 연산자 (?? =)은 무엇입니까?Apr 10, 2025 am 09:33 AM

JavaScript에서는 NullCoalescingOperator (??) 및 NullCoalescingAssignmentOperator (?? =)를 사용할 수 있습니다. 1. 2. ??= 변수를 오른쪽 피연산자의 값에 할당하지만 변수가 무효 또는 정의되지 않은 경우에만. 이 연산자는 코드 로직을 단순화하고 가독성과 성능을 향상시킵니다.

CSP (Content Security Policy) 헤더 란 무엇이며 왜 중요한가요?Apr 09, 2025 am 12:10 AM

CSP는 XSS 공격을 방지하고 리소스로드를 제한하여 웹 사이트 보안을 향상시킬 수 있기 때문에 중요합니다. 1.CSP는 HTTP 응답 헤더의 일부이며 엄격한 정책을 통해 악의적 인 행동을 제한합니다. 2. 기본 사용법은 동일한 원점에서 자원을로드 할 수있는 것입니다. 3. 고급 사용량은 특정 도메인 이름을 스크립트와 스타일로드 할 수 있도록하는 것과 같은보다 세밀한 전략을 설정할 수 있습니다. 4. Content-Security Policy 보고서 전용 헤더를 사용하여 CSP 정책을 디버그하고 최적화하십시오.

HTTP 요청 방법 (Get, Post, Put, Delete 등)이란 무엇이며 언제 각각을 사용해야합니까?Apr 09, 2025 am 12:09 AM

HTTP 요청 방법에는 각각 리소스를 확보, 제출, 업데이트 및 삭제하는 데 사용되는 Get, Post, Put and Delete가 포함됩니다. 1. GET 방법은 리소스를 얻는 데 사용되며 읽기 작업에 적합합니다. 2. 게시물은 데이터를 제출하는 데 사용되며 종종 새로운 리소스를 만드는 데 사용됩니다. 3. PUT 방법은 리소스를 업데이트하는 데 사용되며 완전한 업데이트에 적합합니다. 4. 삭제 방법은 자원을 삭제하는 데 사용되며 삭제 작업에 적합합니다.

HTTPS 란 무엇이며 웹 애플리케이션에 중요한 이유는 무엇입니까?Apr 09, 2025 am 12:08 AM

HTTPS는 HTTP를 기반으로 보안 계층을 추가하는 프로토콜로, 주로 암호화 된 데이터를 통해 사용자 개인 정보 및 데이터 보안을 보호합니다. 작업 원칙에는 TLS 핸드 셰이크, 인증서 확인 및 암호화 된 커뮤니케이션이 포함됩니다. HTTP를 구현할 때는 인증서 관리, 성능 영향 및 혼합 콘텐츠 문제에주의를 기울여야합니다.

See all articles

핫 AI 도구

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

Atom Editor Mac 버전 다운로드

가장 인기 있는 오픈 소스 편집기

Eclipse용 SAP NetWeaver 서버 어댑터

Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

SecList

SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.