简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
> 백엔드 개발 > PHP 튜토리얼 > 본문

PHP 애플리케이션에서 파일 업로드 취약점이 악용되는 것을 방지하는 방법

PHPz
풀어 주다: 2023-07-05 13:32:02
원래의
1090명이 탐색했습니다.

PHP 애플리케이션에서 파일 업로드 취약점이 악용되는 것을 방지하는 방법

인용문:
최신 웹 애플리케이션에서 파일 업로드 기능은 일반적인 요구 사항입니다. 그러나 제대로 구현 및 검증되지 않으면 파일 업로드 기능이 해커의 진입점이 되어 심각한 보안 취약성을 초래할 수 있습니다. 이 문서에서는 PHP 애플리케이션의 파일 업로드 취약점 악용을 방지하는 방법을 설명하고 애플리케이션의 보안을 강화하는 데 도움이 되는 몇 가지 코드 예제를 제공합니다.

1. 파일 업로드 취약점의 원리
파일 업로드 취약점의 원리는 공격자가 취약점 포인트를 이용하여 악성 파일을 업로드하고 그 안에 포함된 악성 코드를 실행함으로써 서버를 장악한다는 것입니다. 일반적인 공격 방법으로는 백도어 업로드, 악성 파일 덮어쓰기 등이 있습니다.

2. 파일 업로드 취약점에 대한 예방 조치
파일 업로드 취약점 악용을 방지하기 위해 다음과 같은 조치를 취할 수 있습니다.

  1. 업로드되는 파일 형식을 합리적으로 제한: 업로드되는 파일 형식을 제한하면 악성 파일 업로드를 효과적으로 방지할 수 있습니다. . 백엔드 코드에서 업로드된 파일의 확장자나 MIME 유형을 확인하고 업로드 허용 파일의 화이트리스트와 비교할 수 있습니다.

코드 예: 

$allowedExtensions = array('jpg', 'png', 'gif');
$allowedMimeTypes = array('image/jpeg', 'image/png', 'image/gif');

$uploadedFileExtension = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION));
$uploadedFileType = $_FILES['file']['type'];

if (!in_array($uploadedFileExtension, $allowedExtensions) || !in_array($uploadedFileType, $allowedMimeTypes)) {
    // 文件类型不允许,进行错误处理
    // ...
}
로그인 후 복사
  1. 파일 업로드 디렉터리 권한 수정: 서버에서는 업로드된 파일이 악성 코드에 의해 실행되지 않도록 업로드된 파일의 디렉터리 권한을 다음으로 설정해야 합니다. 읽기 전용이며 실행할 수 없습니다.

코드 예: 

$uploadDirectory = '/path/to/upload/directory';
chmod($uploadDirectory, 0644); // 设置目录权限为只读
로그인 후 복사
  1. 업로드된 파일의 파일 이름 수정: 업로드된 파일에 대한 덮어쓰기 공격을 방지하려면 업로드된 파일 이름을 수정하는 것이 가장 좋습니다. 임의의 문자열을 추가하거나 해시 알고리즘을 사용할 수 있습니다. 고유한 파일 이름을 생성합니다.

코드 예: 

$uploadedFileName = $_FILES['file']['name'];
$uploadedFileExtension = strtolower(pathinfo($uploadedFileName, PATHINFO_EXTENSION));

$uniqueFileName = md5(uniqid()) . '.' . $uploadedFileExtension;
로그인 후 복사
  1. 업로드된 파일을 안전하게 확인: 업로드된 파일이 백엔드에서 처리되기 전에 파일의 무결성과 합법성을 보장하기 위해 충분한 확인을 수행해야 합니다. 업로드된 파일의 크기 확인, 파일 서명 확인 등을 통해 확인할 수 있습니다.

코드 예시: 

$uploadedFileSize = $_FILES['file']['size'];

if ($uploadedFileSize > 1024 * 1024) {
    // 文件大小超过限制,进行错误处理
    // ...
}
로그인 후 복사

3. 결론
파일 업로드 기능은 웹 애플리케이션에서 흔하고 중요한 기능이지만 취약점이기도 합니다. 애플리케이션과 사용자의 보안을 보호하려면 파일 업로드 기능을 구현하고 확인할 때 적절한 보안 조치를 취하고 보안 모범 사례를 따라야 합니다. 이 문서에서는 애플리케이션의 보안을 강화하는 데 도움이 되기를 바라며 파일 업로드 취약점을 방지하기 위한 몇 가지 샘플 코드를 제공합니다.

위 내용은 PHP 애플리케이션에서 파일 업로드 취약점이 악용되는 것을 방지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
php应用程序 文件上传漏洞 防止漏洞
원천:php.cn
이전 기사:PHP와 Alibaba Cloud Platform 간의 인터페이스 도킹 가이드 다음 기사:PHP가 Tencent Cloud Green Website Protection Service와 연결하여 악성 공격 차단 기능을 구현하는 방법
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
Vue 프로젝트에 모듈이 정의되지 않았습니다. 공식 문서에 명시된 대로 npmini tvue@latest를 실행하여 새로운 Vue 애플리케이션을 만들었습니다. 그런 다음 Vue 및 Vite 웹 사이트의 가이드...
에서 2023-11-17 12:38:53
0
2
394
<?php //연도, 월, 일이 주어지면 해당 날짜가 해당 연도의 날짜를 출력합니다(윤년은 4 100 400임). <?php //년, 월, 일이 주어지면 해당 날짜가 해당 연도의 일을 출력합니다(윤년은 4 100 400임을 참고). //사용할 수 있는 기술적 경로...
에서 2023-11-14 23:55:21
0
1
79
문제 해결 방법: "리소스를 로드할 수 없습니다: net::ERR_CONNECTION_REFUSED http://localhost:8989/route?...." 내 프로그램에 문제가 있습니다. LeatlefJs 라이브러리를 이용한 지리정보 시스템에 관한 프로그램이고, letlef 라우터 기능도 사용했습니다. 문제는 시스템...
에서 2023-11-12 19:34:27
0
1
244
NextJS의 애플리케이션 라우터에 있는 페이지/_app.js의 대안은 무엇입니까? 방금 NextJS를 사용하기 시작했는데 Application Router라는 새로운 라우터가 있습니다. 이제 NextJS 페이지 라우터의 페이지/_app.js를 ...
에서 2023-11-11 09:38:14
0
1
395
PHP에서 VueJS 구성 요소 활용 VueJS를 사용하지 않고도 Php 및 VueJS 구성 요소에서 생성된 기본 HTML을 가장 낮은 dom 리프까지 혼합하고 싶습니다. 상위 레이아웃에는 Vue 애...
에서 2023-11-11 00:01:44
0
2
288
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!