PHP 파일에 취약점이 포함되지 않도록 방지하는 모범 사례-PHP 튜토리얼-php.cn

집

백엔드 개발

PHP 튜토리얼

PHP 파일에 취약점이 포함되지 않도록 방지하는 모범 사례

王林

Jul 08, 2023 pm 07:58 PM

입력 유효성 검사 안전한 파일 포함 화이트리스트 승인

PHP 파일 포함 취약점을 방지하기 위한 모범 사례

PHP의 파일 포함 기능은 개발자가 다양한 코드 조각을 결합하여 코드 재사용을 달성할 수 있도록 하는 매우 일반적으로 사용되는 기능입니다. 그러나 파일 포함 기능을 잘못 사용하면 보안 취약점이 발생하여 공격자가 악성 코드를 실행하거나 민감한 정보에 접근할 수도 있습니다.

이 문서에서는 개발자가 PHP 파일 포함 기능을 사용할 때 보안 취약점을 방지하는 데 도움이 되는 몇 가지 모범 사례와 제안을 소개합니다.

사용자 입력 확인

사용자 입력은 보안 취약점의 가장 일반적인 원인 중 하나입니다. 파일 포함 기능을 사용하기 전에 사용자 입력을 적절하게 필터링하고 처리해야 합니다. 파일 포함 작업에 사용자 입력을 직접 사용하지 말고 대신 유효성을 검사하고 삭제하세요.

예제 코드:

$filename = $_GET['file'];
if (preg_match('/^[a-zA-Z0-9_-]+$/',$filename)) {
    include($filename . '.php');
} else {
    // 非法的文件名
    echo 'Invalid file name';
}

로그인 후 복사

위 예에서는 정규식을 사용하여 파일 이름을 필터링하고 문자, 숫자, 밑줄 및 하이픈이 포함된 합법적인 파일 이름만 허용합니다. 파일 이름이 유효하면 파일 포함 작업이 수행되고, 그렇지 않으면 오류 메시지가 반환됩니다.

절대 경로 사용

상대 경로 대신 절대 경로를 사용하면 보안이 강화됩니다. 상대 경로를 사용하면 파일에 포함된 대상 파일이 공격자가 제어하는 파일로 대체될 수 있습니다. 따라서 포함된 파일을 참조하려면 절대 경로를 사용하는 것이 좋습니다.

예제 코드:

$filename = '/path/to/included/file.php';
include($filename);

로그인 후 복사

위 예에서는 상대 경로가 아닌 절대 경로를 사용하여 포함하려는 파일을 참조합니다.

포함된 파일에 대한 화이트리스트 설정

파일 포함 범위를 제한하기 위해 지정된 파일만 포함되도록 화이트리스트를 설정할 수 있습니다. 화이트리스트를 배열 또는 구성 파일에 저장하고 포함하기 전에 파일의 유효성을 검사하십시오.

샘플 코드:

$whitelist = ['file1.php', 'file2.php'];

$filename = $_GET['file'];
if (in_array($filename, $whitelist)) {
    include($filename);
} else {
    // 无权访问文件
    echo 'Access denied';
}

로그인 후 복사

위의 예에서는 화이트리스트에 정의된 파일만 포함되며, 그렇지 않으면 오류 메시지가 반환됩니다.

동적 파일 포함 비활성화

PHP 구성 파일의 allow_url_include를 Off로 설정하여 동적 파일 포함을 비활성화하세요. 이렇게 하면 공격자가 원격 파일을 포함시켜 악성 코드를 실행하는 것을 방지할 수 있습니다. allow_url_include设置为Off以禁用动态文件包含功能。这可以防止攻击者通过包含远程文件来执行恶意代码。

示例代码(php.ini)：

allow_url_include = Off

로그인 후 복사

通过禁用动态文件包含，可以防止包含远程文件的风险。

限制包含路径

在PHP中，可以通过设置include_path变量来限制包含文件的搜索路径。将其设置为一个只包含必要文件的目录，可以减少攻击者可能利用的目标文件。

示例代码(php.ini)：

include_path = ".:/path/to/includes"

로그인 후 복사

将include_path

샘플 코드(php.ini):

rrreee

동적 파일 포함을 비활성화하면 원격 파일을 포함하는 위험을 방지할 수 있습니다. 🎜

include_path

위 내용은 PHP 파일에 취약점이 포함되지 않도록 방지하는 모범 사례의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명

본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

뜨거운 도구

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?

7322

자바 튜토리얼

1625

Cakephp 튜토리얼

1350

라라벨 튜토리얼

1262

PHP 튜토리얼

1209

Related knowledge

11 최고의 PHP URL 쇼트너 스크립트 (무료 및 프리미엄) Mar 03, 2025 am 10:49 AM

종종 키워드와 추적 매개 변수로 혼란스러워하는 긴 URL은 방문자를 방해 할 수 있습니다. URL 단축 스크립트는 솔루션을 제공하여 소셜 미디어 및 기타 플랫폼에 이상적인 간결한 링크를 만듭니다. 이 스크립트는 개별 웹 사이트 a에 유용합니다

Instagram API 소개 Mar 02, 2025 am 09:32 AM

Instagram은 2012 년 Facebook에서 유명한 인수에 이어 타사 사용을 위해 두 개의 API 세트를 채택했습니다. Instagram Graph API 및 Instagram Basic Display API입니다. 개발자는

Laravel의 플래시 세션 데이터로 작업합니다 Mar 12, 2025 pm 05:08 PM

Laravel은 직관적 인 플래시 방법을 사용하여 임시 세션 데이터 처리를 단순화합니다. 응용 프로그램에 간단한 메시지, 경고 또는 알림을 표시하는 데 적합합니다. 데이터는 기본적으로 후속 요청에만 지속됩니다. $ 요청-

Laravel Back End : Part 2, React가있는 React 앱 구축 Mar 04, 2025 am 09:33 AM

이것은 Laravel 백엔드가있는 React Application을 구축하는 데있어 시리즈의 두 번째이자 마지막 부분입니다. 이 시리즈의 첫 번째 부분에서는 기본 제품 목록 응용 프로그램을 위해 Laravel을 사용하여 편안한 API를 만들었습니다. 이 튜토리얼에서는 Dev가 될 것입니다

Laravel 테스트에서 단순화 된 HTTP 응답 조롱 Mar 12, 2025 pm 05:09 PM

Laravel은 간결한 HTTP 응답 시뮬레이션 구문을 제공하여 HTTP 상호 작용 테스트를 단순화합니다. 이 접근법은 테스트 시뮬레이션을보다 직관적으로 만들면서 코드 중복성을 크게 줄입니다. 기본 구현은 다양한 응답 유형 단축키를 제공합니다. Illuminate \ support \ Facades \ http를 사용하십시오. http :: 가짜 ([ 'google.com'=> 'Hello World', 'github.com'=> [ 'foo'=> 'bar'], 'forge.laravel.com'=>

PHP의 컬 : REST API에서 PHP Curl Extension 사용 방법 Mar 14, 2025 am 11:42 AM

PHP 클라이언트 URL (CURL) 확장자는 개발자를위한 강력한 도구이며 원격 서버 및 REST API와의 원활한 상호 작용을 가능하게합니다. PHP CURL은 존경받는 다중 프로모토콜 파일 전송 라이브러리 인 Libcurl을 활용하여 효율적인 execu를 용이하게합니다.