PHP 보안 - 추적 데이터

추적 데이터

보안에 민감한 개발자로서 가장 중요한 것 중 하나는 항상 데이터를 추적하는 것입니다. 그것이 무엇인지, 어디에 있는지를 아는 것뿐만 아니라, 그것이 어디서 와서 어디로 가는지도 알 수 있습니다. 때로는 이를 수행하는 것이 어려울 수 있습니다. 특히 웹이 어떻게 작동하는지 깊이 이해하지 못하는 경우에는 더욱 그렇습니다. 그렇기 때문에 일부 개발자는 다른 개발 환경에 대한 경험이 있음에도 불구하고 웹에 대한 경험이 많지 않은 경우 실수를 하고 보안 취약점을 만드는 경우가 많습니다.

대부분의 사람들은 EMAIL을 읽을 때 일반적으로 "Re: 안녕하세요" 등의 스팸메일은 답글로 보이는 제목이 위조될 수 있다는 것을 알기 때문입니다. 따라서 이 이메일은 반드시 "안녕하세요"라는 제목의 이전 이메일에 대한 답장이 아닐 수도 있습니다. 이 주제에 대해 많은 신뢰를 갖고 있지만 보낸 사람 주소가 스푸핑될 수 있다는 사실을 깨닫는 사람은 거의 없으며 이메일의 출처를 확실하게 표시할 수 있다고 잘못 생각합니다.

웹도 매우 유사합니다. 제가 여러분에게 가르치고 싶은 것 중 하나는 신뢰할 수 있는 데이터와 신뢰할 수 없는 데이터를 구별하는 방법입니다. 이를 수행하는 것은 쉽지 않은 경우가 많으며 맹목적인 추측은 답이 아닙니다.

PHP는 $_GET, $_POST, $_COOKIE는 사용자 데이터의 출처를 명확하게 나타냅니다. 엄격한 명명 시스템을 사용하면 프로그램 코드의 모든 부분에 있는 모든 데이터의 소스를 알 수 있습니다. 이는 제가 항상 시연하고 강조해 왔던 것입니다.

데이터가 프로그램에 들어오는 위치를 아는 것이 매우 중요하며 데이터가 프로그램에서 나가는 위치를 아는 것도 중요합니다. 예를 들어, echo 명령을 사용하면 클라이언트에 데이터가 전송되고, mysql_query를 사용하면 MySQL 데이터베이스에 데이터가 전송됩니다(데이터 검색이 목적일 수도 있음).

저는 PHP 코드의 보안 취약점을 감사할 때 주로 외부 시스템과 상호 작용하는 코드 부분을 확인합니다. 코드의 이 부분에는 보안 취약점이 포함될 가능성이 높으므로 개발 및 코드 검사 중에 특별한 주의를 기울여야 합니다.

위 내용은 PHP 보안 추적 자료 내용입니다. 더 많은 관련 내용은 PHP 중국어 홈페이지(www.php.cn)를 참고해주세요!