목차
접근권한 노출" >접근권한 노출
백엔드 개발 PHP 튜토리얼 PHP 보안 - 접근 권한이 노출됨

PHP 보안 - 접근 권한이 노출됨

Feb 22, 2017 am 09:15 AM



접근권한 노출

데이터베이스를 사용할 때 고려해야 할 주요 문제 중 하나는 접근 권한(예: 사용자 이름 및 비밀번호)의 노출입니다. 프로그래밍의 편의를 위해 일반적으로 다음과 같은 db.inc 파일을 사용하여 저장합니다.

CODE:

<?php
 
$db_user = &#39;myuser&#39;;
$db_pass = &#39;mypass&#39;;
$db_host = &#39;127.0.0.1&#39;;
 
$db = mysql_connect($db_host, $db_user,
$db_pass);
 
?>
로그인 후 복사


사용자 이름과 비밀번호는 민감한 데이터이므로 특별한 주의가 필요합니다. 소스코드로 작성된다는 점은 리스크를 수반하지만 피할 수 없는 문제이다. 이렇게 하지 않으면 데이터베이스가 사용자 이름과 비밀번호로 보호되지 않습니다.

http.conf(Apache의 구성 파일)의 기본 버전을 읽으면 기본 파일 형식이 text/plain(일반 텍스트)임을 알 수 있습니다. 이런 식으로 db.inc와 같은 파일이 웹사이트의 루트 디렉터리에 저장되면 위험이 발생할 수 있습니다. 웹 사이트의 루트 디렉터리에 있는 모든 리소스에는 해당 URL이 있습니다. Apache는 접미사가 .inc인 파일에 대한 처리 방법 유형을 정의하지 않으므로 이러한 유형의 파일에 액세스하면 일반 텍스트 형식으로 반환됩니다( 기본 유형), 액세스 권한이 클라이언트의 브라우저에 노출됩니다.

이 위험을 더 자세히 설명하려면 웹 사이트의 루트 디렉터리로 /www가 있는 서버를 생각해 보세요. db.inc가 /www/inc에 저장되어 있으면 자체 URL인 http://www.php.cn/이 있습니다(예를 들어 가정). .org는 호스트 도메인 이름입니다). 이 URL에 접속하면 db.inc의 소스 파일이 텍스트 모드로 표시되는 것을 볼 수 있습니다. /www의 어느 하위 디렉터리에 파일을 저장하더라도 접근권한이 노출될 위험을 피할 수 없습니다.

이 문제에 대한 가장 좋은 해결책은 웹 사이트 루트 외부의 포함 디렉터리에 저장하는 것입니다. 이를 포함하기 위해 파일 시스템의 특정 위치에 넣을 필요는 없으며 웹 서버가 해당 항목에 대한 읽기 액세스 권한을 가지고 있는지 확인하기만 하면 됩니다. 따라서 해당 파일을 웹 사이트 루트 디렉터리에 배치하는 데에는 불필요한 위험이 없으며, 포함된 파일이 웹 사이트 루트 디렉터리에 있는 한 위험을 줄이려는 모든 노력은 헛된 것입니다. 실제로 URL을 통해 액세스해야 하는 리소스만 웹 사이트의 루트 디렉터리에 배치하면 됩니다. 결국 이것은 공개 디렉토리입니다.

이전 항목은 SQLite 데이터베이스에도 유용합니다. 데이터베이스를 현재 디렉터리에 저장하면 경로를 지정하지 않고 파일명만 불러오면 되기 때문에 매우 편리하다. 그러나 웹사이트의 루트 디렉터리에 데이터베이스를 저장하는 것은 불필요한 위험을 의미합니다. 직접 액세스를 방지하기 위한 보안 조치를 사용하지 않으면 데이터베이스가 위험해집니다.

외부 요인으로 인해 모든 포함 파일을 웹사이트 루트 디렉터리 외부에 배치할 수 없는 경우 .inc 리소스에 대한 요청을 거부하도록 Apache를 구성할 수 있습니다.

코드:

아아앙


번역 참고 사항: 단지 예를 들기 위해 이 글을 쓴다면, 결국 모든 사람들이 몇 가지 방법을 배웠지만 이 예는 약간 무뚝뚝합니다. 실제로 파일 이름을 db.inc.php로 바꾸십시오. 그것은 집에 구멍이 났을 때 수리하는 것이 아니라, 무너진 집을 덮기 위해 밖에 더 큰 집을 짓는 것과 같습니다.

8장에서는 데이터베이스 접근이 노출되는 것을 방지하는 또 다른 방법도 볼 수 있는데, 이는 공유 서버 환경(파일이 웹사이트 루트 외부에 위치하더라도 여전히 노출 위험이 있는 환경)에서 매우 효과적입니다.

위 내용은 PHP 보안접근권한 노출 내용이며, 보다 자세한 내용은 PHP 중국어 홈페이지(www. php.cn)!


본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

CakePHP 프로젝트 구성 CakePHP 프로젝트 구성 Sep 10, 2024 pm 05:25 PM

이번 장에서는 CakePHP의 환경 변수, 일반 구성, 데이터베이스 구성, 이메일 구성에 대해 알아봅니다.

Ubuntu 및 Debian용 PHP 8.4 설치 및 업그레이드 가이드 Ubuntu 및 Debian용 PHP 8.4 설치 및 업그레이드 가이드 Dec 24, 2024 pm 04:42 PM

PHP 8.4는 상당한 양의 기능 중단 및 제거를 통해 몇 가지 새로운 기능, 보안 개선 및 성능 개선을 제공합니다. 이 가이드에서는 Ubuntu, Debian 또는 해당 파생 제품에서 PHP 8.4를 설치하거나 PHP 8.4로 업그레이드하는 방법을 설명합니다.

CakePHP 날짜 및 시간 CakePHP 날짜 및 시간 Sep 10, 2024 pm 05:27 PM

cakephp4에서 날짜와 시간을 다루기 위해 사용 가능한 FrozenTime 클래스를 활용하겠습니다.

CakePHP 파일 업로드 CakePHP 파일 업로드 Sep 10, 2024 pm 05:27 PM

파일 업로드 작업을 위해 양식 도우미를 사용할 것입니다. 다음은 파일 업로드의 예입니다.

CakePHP 라우팅 CakePHP 라우팅 Sep 10, 2024 pm 05:25 PM

이번 장에서는 라우팅과 관련된 다음과 같은 주제를 학습하겠습니다.

CakePHP 토론 CakePHP 토론 Sep 10, 2024 pm 05:28 PM

CakePHP는 PHP용 오픈 소스 프레임워크입니다. 이는 애플리케이션을 훨씬 쉽게 개발, 배포 및 유지 관리할 수 있도록 하기 위한 것입니다. CakePHP는 강력하고 이해하기 쉬운 MVC와 유사한 아키텍처를 기반으로 합니다. 모델, 뷰 및 컨트롤러 gu

PHP 개발을 위해 Visual Studio Code(VS Code)를 설정하는 방법 PHP 개발을 위해 Visual Studio Code(VS Code)를 설정하는 방법 Dec 20, 2024 am 11:31 AM

VS Code라고도 알려진 Visual Studio Code는 모든 주요 운영 체제에서 사용할 수 있는 무료 소스 코드 편집기 또는 통합 개발 환경(IDE)입니다. 다양한 프로그래밍 언어에 대한 대규모 확장 모음을 통해 VS Code는

CakePHP 유효성 검사기 만들기 CakePHP 유효성 검사기 만들기 Sep 10, 2024 pm 05:26 PM

컨트롤러에 다음 두 줄을 추가하면 유효성 검사기를 만들 수 있습니다.

See all articles