PHP 보안 - 접근 권한이 노출됨

접근권한 노출

데이터베이스를 사용할 때 고려해야 할 주요 문제 중 하나는 접근 권한(예: 사용자 이름 및 비밀번호)의 노출입니다. 프로그래밍의 편의를 위해 일반적으로 다음과 같은 db.inc 파일을 사용하여 저장합니다.

CODE:

<?php
 
$db_user = &#39;myuser&#39;;
$db_pass = &#39;mypass&#39;;
$db_host = &#39;127.0.0.1&#39;;
 
$db = mysql_connect($db_host, $db_user,
$db_pass);
 
?>

사용자 이름과 비밀번호는 민감한 데이터이므로 특별한 주의가 필요합니다. 소스코드로 작성된다는 점은 리스크를 수반하지만 피할 수 없는 문제이다. 이렇게 하지 않으면 데이터베이스가 사용자 이름과 비밀번호로 보호되지 않습니다.

http.conf(Apache의 구성 파일)의 기본 버전을 읽으면 기본 파일 형식이 text/plain(일반 텍스트)임을 알 수 있습니다. 이런 식으로 db.inc와 같은 파일이 웹사이트의 루트 디렉터리에 저장되면 위험이 발생할 수 있습니다. 웹 사이트의 루트 디렉터리에 있는 모든 리소스에는 해당 URL이 있습니다. Apache는 접미사가 .inc인 파일에 대한 처리 방법 유형을 정의하지 않으므로 이러한 유형의 파일에 액세스하면 일반 텍스트 형식으로 반환됩니다( 기본 유형), 액세스 권한이 클라이언트의 브라우저에 노출됩니다.

이 위험을 더 자세히 설명하려면 웹 사이트의 루트 디렉터리로 /www가 있는 서버를 생각해 보세요. db.inc가 /www/inc에 저장되어 있으면 자체 URL인 http://www.php.cn/이 있습니다(예를 들어 가정). .org는 호스트 도메인 이름입니다). 이 URL에 접속하면 db.inc의 소스 파일이 텍스트 모드로 표시되는 것을 볼 수 있습니다. /www의 어느 하위 디렉터리에 파일을 저장하더라도 접근권한이 노출될 위험을 피할 수 없습니다.

이 문제에 대한 가장 좋은 해결책은 웹 사이트 루트 외부의 포함 디렉터리에 저장하는 것입니다. 이를 포함하기 위해 파일 시스템의 특정 위치에 넣을 필요는 없으며 웹 서버가 해당 항목에 대한 읽기 액세스 권한을 가지고 있는지 확인하기만 하면 됩니다. 따라서 해당 파일을 웹 사이트 루트 디렉터리에 배치하는 데에는 불필요한 위험이 없으며, 포함된 파일이 웹 사이트 루트 디렉터리에 있는 한 위험을 줄이려는 모든 노력은 헛된 것입니다. 실제로 URL을 통해 액세스해야 하는 리소스만 웹 사이트의 루트 디렉터리에 배치하면 됩니다. 결국 이것은 공개 디렉토리입니다.

이전 항목은 SQLite 데이터베이스에도 유용합니다. 데이터베이스를 현재 디렉터리에 저장하면 경로를 지정하지 않고 파일명만 불러오면 되기 때문에 매우 편리하다. 그러나 웹사이트의 루트 디렉터리에 데이터베이스를 저장하는 것은 불필요한 위험을 의미합니다. 직접 액세스를 방지하기 위한 보안 조치를 사용하지 않으면 데이터베이스가 위험해집니다.

외부 요인으로 인해 모든 포함 파일을 웹사이트 루트 디렉터리 외부에 배치할 수 없는 경우 .inc 리소스에 대한 요청을 거부하도록 Apache를 구성할 수 있습니다.

코드:

아아앙

번역 참고 사항: 단지 예를 들기 위해 이 글을 쓴다면, 결국 모든 사람들이 몇 가지 방법을 배웠지만 이 예는 약간 무뚝뚝합니다. 실제로 파일 이름을 db.inc.php로 바꾸십시오. 그것은 집에 구멍이 났을 때 수리하는 것이 아니라, 무너진 집을 덮기 위해 밖에 더 큰 집을 짓는 것과 같습니다.

8장에서는 데이터베이스 접근이 노출되는 것을 방지하는 또 다른 방법도 볼 수 있는데, 이는 공유 서버 환경(파일이 웹사이트 루트 외부에 위치하더라도 여전히 노출 위험이 있는 환경)에서 매우 효과적입니다.

위 내용은 PHP 보안접근권한 노출 내용이며, 보다 자세한 내용은 PHP 중국어 홈페이지(www. php.cn)!