보안 수준이 높은 PHP 웹사이트를 만들기 위한 몇 가지 실용적인 포인트

PHP가 현재 가장 인기 있는 웹 애플리케이션 프로그래밍 언어라는 것은 누구나 알고 있습니다. 그러나 다른 스크립팅 언어와 마찬가지로 PHP에도 몇 가지 위험한 보안 허점이 있습니다. 따라서 이 튜토리얼에서는 일반적인 PHP 보안 문제를 방지하는 데 도움이 되는 몇 가지 실용적인 팁을 살펴보겠습니다.

팁 1: 적절한 오류 보고 사용

일반적으로 개발 과정에서 많은 프로그래머는 항상 프로그램 오류 보고서를 작성하는 것을 잊어버립니다. 적절한 오류 보고서는 최고의 디버깅 도구일 뿐만 아니라 뛰어난 보안 취약점 탐지 도구이기 때문에 이는 큰 실수입니다. 응용 프로그램이 실제로 시작되기 전에 직면하게 될 문제를 최대한 많이 찾으십시오.

물론 오류 보고를 활성화하는 방법에는 여러 가지가 있습니다. 예를 들어, php.in 구성 파일에서 런타임에 활성화되도록 설정할 수 있습니다.

오류 보고 시작

error_reporting(E_ALL);

오류 보고 비활성화

error_reporting(0);

팁 2: PHP의 Weak 속성을 사용하지 마세요

OFF로 설정해야 하는 몇 가지 PHP 속성이 있습니다. 일반적으로 PHP4에는 존재하지만 PHP5에서는 사용하지 않는 것이 좋습니다. 특히 PHP6에서는 이러한 속성이 제거되었습니다.

전역 변수 등록

register_globals를 ON으로 설정하면 환경 설정과 동일하며 GET, POST, COOKIE 또는 서버 변수가 전역 변수로 정의됩니다. 현재로서는 'username' 형식 변수를 얻기 위해 $_POST['username']을 작성할 필요가 없습니다. 이 변수를 얻으려면 '$username'만 필요합니다.

그렇다면 Register_globals를 ON으로 설정하면 이렇게 편리한 장점이 있으니 사용해 보는 것은 어떨까요? 이렇게 하면 많은 보안 문제가 발생하고 로컬 변수 이름과 충돌할 수도 있기 때문입니다.

예를 들어 다음 코드를 살펴보세요.

if( !empty( $_POST['username'] ) && $_POST['username'] == ‘test123′ && !empty( $_POST['password'] ) && $_POST['password'] == “pass123″ )
{
$access = true;
}

런타임 중에 Register_globals가 ON으로 설정되면 사용자는 PHP 스크립트가 실행하는 모든 것을 가져오기 위해 쿼리 문자열에 access=1만 전달하면 됩니다.

.htaccess에서 전역 변수 비활성화

php_flag register_globals 0

php.ini에서 전역 변수 비활성화

register_globals = Off

Magic_quotes_gpc, Magic_quotes_runtime, Magic_quotes_sybase와 같은 Magic Quotes를 비활성화합니다.

.htaccess 파일에서

설정

php_flag magic_quotes_gpc 0
php_flag magic_quotes_runtime 0

php.ini에 설정

magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

팁 3: 사용자 입력 유효성 검사

물론 사용자 입력의 유효성을 검사할 수도 있습니다. 먼저 사용자가 입력할 것으로 예상되는 데이터 유형을 알아야 합니다. 이러한 방식으로 브라우저 측에서 사용자가 악의적으로 공격하는 것을 방지할 수 있습니다.

팁 4: 사용자의 크로스 사이트 스크립팅 공격 방지

웹 애플리케이션에서는 양식에 사용자 입력을 수락한 다음 결과에 피드백을 주는 것이 간단합니다. 사용자 입력을 받을 때 HTML 형식 입력을 허용하는 것은 매우 위험합니다. 왜냐하면 이렇게 하면 JavaScript가 예측할 수 없는 방식으로 침입하여 직접 실행될 수도 있기 때문입니다. 이러한 취약점이 하나만 존재하더라도 쿠키 데이터를 탈취할 수 있으며, 사용자의 계정을 탈취할 수도 있습니다.

팁 5: SQL 주입 공격 방지

PHP는 기본적으로 데이터베이스를 보호하기 위한 도구를 제공하지 않으므로 데이터베이스에 접속할 때 다음과 같은 mysqli_real_escape_string 함수를 사용할 수 있습니다.

$username = mysqli_real_escape_string( $GET['username'] );
mysql_query( “SELECT * FROM tbl_employee WHERE username = ’”.$username.“‘”);

이 짧은 기사에서는 개발 과정에서 무시할 수 없는 몇 가지 PHP 보안 문제에 대해 자세히 설명합니다. 하지만 이를 사용할지, 어떻게 사용할지는 궁극적으로 개발자의 몫입니다. 이 기사가 도움이 되기를 바랍니다.

위의 내용은 보안 수준이 높은 PHP 웹사이트를 만들기 위한 몇 가지 실용적인 사항을 소개하며, PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.