PHP 보안 세션 데이터 노출 (2)

세션 데이터 노출

소스 코드 노출 방지에 집중하면 세션 데이터도 똑같이 위험에 노출됩니다. 기본적으로 SESSION은 /tmp 디렉터리에 저장됩니다. 이는 많은 상황에서 편리합니다. 그 중 하나는 모든 사용자가 /tmp에 대한 쓰기 권한을 가지므로 Apache에도 쓰기 권한이 있다는 것입니다. 다른 사용자는 셸 환경에서 직접 이러한 세션 파일을 읽을 수 없지만 간단한 스크립트를 작성하여 읽을 수 있습니다.

 <?php
 
  header(&#39;Content-Type: text/plain&#39;);
  session_start();
 
  $path = ini_get(&#39;session.save_path&#39;);
  $handle = dir($path);
 
  while ($filename = $handle->read())
  {
    if (substr($filename, 0, 5) == &#39;sess_&#39;)
    {
      $data =
file_get_contents("$path/$filename");
 
      if (!empty($data))
      {
        session_decode($data);
        $session = $_SESSION;
        $_SESSION = array();
        echo "Session [" . substr($filename, 5) .
"]\n";
        print_r($session);
        echo "\n--\n\n";
      }
    }
  }
 
  ?>

이 스크립트는 session.save_path에 정의된 세션 파일 저장 디렉터리에서 sess_ 접두사가 붙은 파일을 검색합니다. 파일을 찾으면 해당 내용이 구문 분석되고 print_r() 함수를 사용하여 해당 내용이 표시됩니다. 이렇게 하면 다른 개발자가 사용자의 세션 데이터를 쉽게 얻을 수 있습니다.

이 문제를 해결하는 가장 좋은 방법은 사용자 이름과 비밀번호로 보호되는 데이터베이스에 세션 데이터를 저장하는 것입니다. 데이터베이스에 대한 액세스가 제어되므로 추가 보호 계층이 추가됩니다. 이전 섹션에서 언급한 기술을 적용하면 데이터베이스가 민감한 데이터를 위한 안전한 장소를 제공할 수 있지만 데이터베이스 보안이 점점 더 중요해지고 있다는 사실을 항상 경계해야 합니다.

세션 데이터를 데이터베이스에 저장하려면 먼저 데이터 테이블을 생성해야 합니다:

  CREATE TABLE sessions
  (
    id varchar(32) NOT NULL,
    access int(10) unsigned,
    data text,
    PRIMARY KEY (id)
  );

MySQL을 사용하는 경우 테이블 구조는 다음과 같습니다.

 
  mysql> DESCRIBE sessions;
 
+--------+------------------+------+-----+---------+-------+
  | Field  | Type             | Null | Key | Default
| Extra |
 
+--------+------------------+------+-----+---------+-------+
  | id     | varchar(32)      |      | PRI |        
|       |
  | access | int(10) unsigned | YES  |     | NULL  
 |       |
  | data   | text             | YES  |     | NULL  
 |       |
 
+--------+------------------+------+-----+---------+-------+

이 테이블에 세션 데이터를 저장하려면 session_set_save_handler( ) PHP의 내장 세션 메커니즘을 편집하는 함수:

<?php
 
  session_set_save_handler(&#39;_open&#39;,
                           &#39;_close&#39;,
                           &#39;_read&#39;,
                           &#39;_write&#39;,
                           &#39;_destroy&#39;,
                           &#39;_clean&#39;);
 
  ?>

이 6개의 인수는 각각 인수의 이름입니다. 이 함수는 다음 작업을 처리합니다.

위의 6개 매개변수는 각각 작성해야 하는 함수의 이름을 나타냅니다. ：

l 세션 저장 켜기

l 세션 저장 끄기

l 세션 데이터 읽기

l 세션 데이터 쓰기

l 세션 데이터 삭제

l 기존 세션 데이터 삭제

목적을 한눈에 알 수 있도록 의도적으로 의미 있는 이름을 사용했습니다. 이름 지정은 임의적이지만 이름 충돌을 방지하기 위해 밑줄(여기에 표시된 대로)이나 다른 명명 규칙으로 시작하는 것이 좋습니다. 다음은 이러한 함수의 예입니다(MySQL 사용). >

session_start() 전에 session_set_save_handler()를 호출해야 합니다. ) 함수를 사용하지만 함수 자체는 어디에서나 정의할 수 있습니다.

이 프로세스의 장점은 코드를 편집하거나 세션 사용 방식을 변경할 필요가 없다는 것입니다. $_SESSION이 여전히 존재하고 동작은 동일하게 유지되며 PHP는 여전히 세션 식별자를 생성 및 전달하고 세션과 관련된 구성 변경 사항도 적용됩니다. 당신이 해야 할 일은 이 하나의 함수를 호출하는 것(그리고 그것에 의해 지정된 모든 함수를 생성하는 것)이며 나머지는 PHP가 처리할 것입니다.

위 내용은 PHP 보안 - 세션 데이터 노출(2) 내용입니다. 더 많은 관련 내용은 PHP 중국어 홈페이지(www.php.cn)를 참고해주세요!