일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행
PHP 애플리케이션을 보호하려면 SQL 삽입, XSS(교차 사이트 스크립팅), CSRF(교차 사이트 요청 위조), 세션 하이재킹, 파일 포함과 같은 일반적인 취약점으로부터 애플리케이션을 보호해야 합니다. 공격. 다음은 PHP 애플리케이션 보안 방법을 이해하는 데 도움이 되는 부분별 설명이 포함된 실습 예제입니다.
1. SQL 인젝션 방지
SQL 삽입은 공격자가 쿼리에 악성 SQL 문을 삽입할 수 있을 때 발생합니다. 이를 방지하려면 매개변수화된 쿼리와 함께 준비된 문을 사용하세요.
예:
<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);
// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id); // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>
설명:
- 준비된 문장으로 SQL 쿼리와 데이터를 분리해 악성코드 삽입을 방지합니다.
- bind_param은 쿼리 구조를 수정하기 위한 직접 입력을 허용하지 않고 $user_id를 SQL 문에 바인딩합니다.
2. 교차 사이트 스크립팅(XSS) 방지
XSS는 공격자가 다른 사용자가 보는 웹페이지에 악성 스크립트를 삽입할 때 발생합니다. 이를 방지하려면 항상 출력을 삭제하고 인코딩하세요.
예:
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . "</p>"; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
설명:
- htmlspecialchars는 특수 문자(예: < 및 >)를 HTML 엔터티로 변환하여 사용자 입력에 포함된 모든 스크립트를 무력화합니다.
- ENT_QUOTES는 작은따옴표와 큰따옴표를 모두 이스케이프하여 HTML 속성으로 출력하는 것이 더 안전합니다.
3. 사이트 간 요청 위조(CSRF) 방지
CSRF는 공격자가 사용자가 모르는 사이에 사이트에서 작업을 수행하도록 사용자를 속일 때 발생합니다. 토큰을 사용하여 CSRF로부터 보호하세요.
예:
<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>
submit.php에서:
<?php
session_start();
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {
die("CSRF token validation failed.");
}
// Process form data
$data = $_POST['data'];
?>
설명:
- 세션별로 고유한 CSRF 토큰이 생성되고 양식의 숨겨진 필드로 추가됩니다.
- 양식이 제출되면 토큰이 확인됩니다. 저장된 세션 토큰과 일치하지 않으면 요청이 거부됩니다.
4. 세션 하이재킹 방지
세션 하이재킹을 방지하려면 세션을 보호하세요. 여기에는 엄격한 세션 구성 설정 및 세션 ID 재생성이 포함됩니다.
예:
<?php
session_start();
// Regenerate session ID to avoid fixation attacks
session_regenerate_id(true);
// Configure secure session parameters
ini_set('session.cookie_httponly', 1); // Prevent JavaScript access to session cookies
ini_set('session.cookie_secure', 1); // Ensure cookies are sent over HTTPS
ini_set('session.use_strict_mode', 1); // Prevent accepting uninitialized session IDs
// Set session timeout
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time
if (time() - $_SESSION['LAST_ACTIVITY'] > 1800) { // 30 minutes timeout
session_unset();
session_destroy();
session_start();
}
?>
설명:
- session_regenerate_id(true)는 새로운 세션 ID를 생성하여 세션 고정 위험을 줄입니다.
- cookie_httponly 및 cookie_secure를 설정하면 JavaScript 및 안전하지 않은(HTTPS가 아닌) 액세스를 제한하여 쿠키 도용을 방지하는 데 도움이 됩니다.
5. 안전한 파일 업로드
파일 업로드를 제한하지 않으면 악성 파일이 업로드 및 실행될 수 있습니다. 항상 파일 형식을 확인하고 안전하게 저장하세요.
예:
<?php
// Insecure version
$user_id = $_GET['id'];
$query = "SELECT * FROM users WHERE id = '$user_id'";
$result = mysqli_query($connection, $query);
// Secure version
$user_id = $_GET['id'];
$stmt = $connection->prepare("SELECT * FROM users WHERE id = ?");
$stmt->bind_param("i", $user_id); // "i" for integer
$stmt->execute();
$result = $stmt->get_result();
?>
설명:
- 허용되는 유형의 배열과 비교하여 파일 확장자를 확인하여 특정 파일 유형만 허용하세요.
- 웹 루트 외부에 파일을 저장하고 move_uploaded_file을 사용하여 직접 URL을 통해 액세스할 수 없도록 하세요.
6. 콘텐츠 보안 정책(CSP) 사용
CSP 헤더는 리소스를 로드할 수 있는 위치를 제한하여 XSS 및 데이터 주입 공격을 방지하는 데 도움이 될 수 있습니다.
예(.htaccess 파일 또는 서버 구성에 추가됨):
<?php // Insecure version echo "<p>Welcome, " . $_GET['username'] . "</p>"; // Secure version echo "<p>Welcome, " . htmlspecialchars($_GET['username'], ENT_QUOTES, 'UTF-8') . "</p>"; ?>
설명:
- 이 CSP는 동일한 출처(self)에서만 리소스를 로드하도록 제한하며,trustedscripts.com의 JavaScript가 허용됩니다.
- 이렇게 하면 외부 스크립트나 신뢰할 수 없는 리소스가 로드되는 것을 방지하여 XSS 위험을 줄일 수 있습니다.
7. 입력 검증 및 삭제
입력 검증 및 삭제를 사용하여 다양한 유형의 주입을 방지합니다.
예:
<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
// Add token to form
echo '<form method="POST" action="submit.php">';
echo '<input type="hidden" name="csrf_token" value="' . $_SESSION['csrf_token'] . '">';
echo '<input type="text" name="data">';
echo '<input type="submit" value="Submit">';
echo '</form>';
?>
설명:
- FILTER_VALIDATE_INT는 나이가 유효한 정수인지 확인합니다.
- FILTER_SANITIZE_STRING은 사용자 이름에서 HTML 태그나 특수 문자를 제거합니다.
이러한 방법을 구현하면 PHP 애플리케이션이 일반적인 취약점으로부터 더 잘 보호됩니다. 모범 사례를 최신 상태로 유지하고 코드에 보안 조치를 지속적으로 적용하는 것이 중요합니다.
저와 연결하세요:@ LinkedIn을 통해 내 포트폴리오를 확인해 보세요.
내 GitHub 프로젝트에 별점을 주세요 ⭐️
위 내용은 일반적인 취약점으로부터 PHP 애플리케이션을 보호하기 위한 필수 보안 관행의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
PHP에서 보안 비밀번호 해싱을 설명하십시오 (예 : Password_hash, Password_Verify). 왜 MD5 또는 SHA1을 사용하지 않습니까?
Apr 17, 2025 am 12:06 AM
PHP에서 Password_hash 및 Password_Verify 기능을 사용하여 보안 비밀번호 해싱을 구현해야하며 MD5 또는 SHA1을 사용해서는 안됩니다. 1) Password_hash는 보안을 향상시키기 위해 소금 값이 포함 된 해시를 생성합니다. 2) Password_verify 암호를 확인하고 해시 값을 비교하여 보안을 보장합니다. 3) MD5 및 SHA1은 취약하고 소금 값이 부족하며 현대 암호 보안에는 적합하지 않습니다.
PHP 및 Python : 두 가지 인기있는 프로그래밍 언어를 비교합니다
Apr 14, 2025 am 12:13 AM
PHP와 Python은 각각 고유 한 장점이 있으며 프로젝트 요구 사항에 따라 선택합니다. 1.PHP는 웹 개발, 특히 웹 사이트의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 간결한 구문을 가진 데이터 과학, 기계 학습 및 인공 지능에 적합하며 초보자에게 적합합니다.
PHP 실행 : 실제 예제 및 응용 프로그램
Apr 14, 2025 am 12:19 AM
PHP는 전자 상거래, 컨텐츠 관리 시스템 및 API 개발에 널리 사용됩니다. 1) 전자 상거래 : 쇼핑 카트 기능 및 지불 처리에 사용됩니다. 2) 컨텐츠 관리 시스템 : 동적 컨텐츠 생성 및 사용자 관리에 사용됩니다. 3) API 개발 : 편안한 API 개발 및 API 보안에 사용됩니다. 성능 최적화 및 모범 사례를 통해 PHP 애플리케이션의 효율성과 유지 보수 성이 향상됩니다.
PHP : 웹 개발의 핵심 언어
Apr 13, 2025 am 12:08 AM
PHP는 서버 측에서 널리 사용되는 스크립팅 언어이며 특히 웹 개발에 적합합니다. 1.PHP는 HTML을 포함하고 HTTP 요청 및 응답을 처리 할 수 있으며 다양한 데이터베이스를 지원할 수 있습니다. 2.PHP는 강력한 커뮤니티 지원 및 오픈 소스 리소스를 통해 동적 웹 컨텐츠, 프로세스 양식 데이터, 액세스 데이터베이스 등을 생성하는 데 사용됩니다. 3. PHP는 해석 된 언어이며, 실행 프로세스에는 어휘 분석, 문법 분석, 편집 및 실행이 포함됩니다. 4. PHP는 사용자 등록 시스템과 같은 고급 응용 프로그램을 위해 MySQL과 결합 할 수 있습니다. 5. PHP를 디버깅 할 때 error_reporting () 및 var_dump ()와 같은 함수를 사용할 수 있습니다. 6. 캐싱 메커니즘을 사용하여 PHP 코드를 최적화하고 데이터베이스 쿼리를 최적화하며 내장 기능을 사용하십시오. 7
PHP의 지속적인 관련성 : 여전히 살아 있습니까?
Apr 14, 2025 am 12:12 AM
PHP는 여전히 역동적이며 현대 프로그래밍 분야에서 여전히 중요한 위치를 차지하고 있습니다. 1) PHP의 단순성과 강력한 커뮤니티 지원으로 인해 웹 개발에 널리 사용됩니다. 2) 유연성과 안정성은 웹 양식, 데이터베이스 작업 및 파일 처리를 처리하는 데 탁월합니다. 3) PHP는 지속적으로 발전하고 최적화하며 초보자 및 숙련 된 개발자에게 적합합니다.
스칼라 유형, 반환 유형, 노조 유형 및 무효 유형을 포함한 PHP 유형의 힌트 작업은 어떻게 작동합니까?
Apr 17, 2025 am 12:25 AM
PHP 유형은 코드 품질과 가독성을 향상시키기위한 프롬프트입니다. 1) 스칼라 유형 팁 : PHP7.0이므로 int, float 등과 같은 기능 매개 변수에 기본 데이터 유형을 지정할 수 있습니다. 2) 반환 유형 프롬프트 : 기능 반환 값 유형의 일관성을 확인하십시오. 3) Union 유형 프롬프트 : PHP8.0이므로 기능 매개 변수 또는 반환 값에 여러 유형을 지정할 수 있습니다. 4) Nullable 유형 프롬프트 : NULL 값을 포함하고 널 값을 반환 할 수있는 기능을 포함 할 수 있습니다.
PHP 및 Python : 코드 예제 및 비교
Apr 15, 2025 am 12:07 AM
PHP와 Python은 고유 한 장점과 단점이 있으며 선택은 프로젝트 요구와 개인 선호도에 달려 있습니다. 1.PHP는 대규모 웹 애플리케이션의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 데이터 과학 및 기계 학습 분야를 지배합니다.
PHP 대 기타 언어 : 비교
Apr 13, 2025 am 12:19 AM
PHP는 특히 빠른 개발 및 동적 컨텐츠를 처리하는 데 웹 개발에 적합하지만 데이터 과학 및 엔터프라이즈 수준의 애플리케이션에는 적합하지 않습니다. Python과 비교할 때 PHP는 웹 개발에 더 많은 장점이 있지만 데이터 과학 분야에서는 Python만큼 좋지 않습니다. Java와 비교할 때 PHP는 엔터프라이즈 레벨 애플리케이션에서 더 나빠지지만 웹 개발에서는 더 유연합니다. JavaScript와 비교할 때 PHP는 백엔드 개발에서 더 간결하지만 프론트 엔드 개발에서는 JavaScript만큼 좋지 않습니다.
