PHP 웹사이트 보안: 일반적인 취약점을 피하는 방법은 무엇입니까?-PHP 튜토리얼-php.cn

PHP 웹사이트 보안: 일반적인 취약점을 피하는 방법은 무엇입니까?

王林

풀어 주다： 2023-08-19 06:20:01

원래의

660명이 탐색했습니다.

PHP 웹사이트 보안: 일반적인 취약점을 피하는 방법은 무엇입니까?

오늘날, 인터넷의 급속한 발전으로 인해 점점 더 많은 웹사이트가 PHP를 주요 개발 언어로 사용하고 있습니다. 그러나 이와 함께 웹사이트 보안 문제도 발생합니다. 해커는 PHP 언어의 특정 취약점을 악용하여 사용자 데이터 유출, 시스템 충돌, 심지어 서버 침입까지 일으킬 수 있습니다. 웹사이트의 보안을 보장하기 위해 당사는 일반적인 취약점을 방지하기 위한 몇 가지 조치를 취해야 합니다.

이 문서에서는 몇 가지 일반적인 PHP 취약점을 소개하고 이러한 취약점을 찾아 해결하는 데 도움이 되는 몇 가지 코드 예제를 제공합니다.

SQL 주입 취약점

SQL 주입 취약점은 가장 일반적인 보안 취약점 중 하나입니다. 이를 통해 공격자는 악의적인 SQL 코드를 삽입하여 데이터베이스 작업을 수정하고 민감한 정보를 얻을 수도 있습니다. 예는 다음과 같습니다.

$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($conn, $sql);

로그인 후 복사

위 예에서는 사용자가 입력한 변수를 사용하여 직접 SQL 쿼리 문을 작성했습니다. 그렇게 하면 코드가 취약해집니다. SQL 주입 공격을 방지하기 위해 매개변수화된 쿼리나 준비된 명령문을 사용할 수 있습니다. 샘플 코드는 다음과 같습니다.

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();

로그인 후 복사

매개변수화된 쿼리 또는 준비된 명령문을 사용하면 사용자 입력이 올바르게 이스케이프되고 처리되어 SQL 주입 공격을 방지할 수 있습니다.

교차 사이트 스크립팅(XSS)

교차 사이트 스크립팅은 또 다른 일반적인 보안 취약점입니다. 이를 통해 공격자는 웹사이트에 악성 스크립트를 주입할 수 있으며, 이는 다른 사용자가 웹사이트를 방문할 때 해당 스크립트가 실행됩니다. 예를 들면 다음과 같습니다.

$message = $_GET['message'];

echo "<p>" . $message . "</p>";

로그인 후 복사

위 예에서는 사용자가 입력한 메시지를 웹 페이지에 직접 출력합니다. 사용자 입력에 악성 스크립트가 포함된 경우 해당 악성 스크립트가 다른 사용자의 브라우저에서 실행됩니다. 크로스 사이트 스크립팅 공격을 방지하기 위해 HTML 이스케이프 기능을 사용하여 사용자 입력을 이스케이프할 수 있습니다. 샘플 코드는 다음과 같습니다.

$message = $_GET['message'];

echo "<p>" . htmlspecialchars($message) . "</p>";

로그인 후 복사

htmlspecialchars 함수를 사용하면 사용자가 입력한 콘텐츠가 올바르게 이스케이프되도록 보장하여 크로스 사이트 스크립팅 공격을 방지할 수 있습니다.

파일 업로드 취약점

파일 업로드 취약점을 통해 공격자는 서버에 악성 파일을 업로드하고 그 안에 있는 악성 코드를 실행할 수 있습니다. 예를 들면 다음과 같습니다.

$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["file"]["name"]);

if (move_uploaded_file($_FILES["file"]["tmp_name"], $target_file)) {
    echo "File is valid, and was successfully uploaded.";
} else {
    echo "Upload failed";
}

로그인 후 복사

위 예에서는 사용자가 업로드한 파일 이름을 사용하여 대상 파일 경로를 직접 구축했습니다. 그렇게 하면 코드가 취약해집니다. 파일 업로드 취약점을 방지하려면 파일 확장자 허용 목록 및 파일 형식 검사를 사용하여 사용자가 업로드한 파일을 확인해야 합니다. 샘플 코드는 다음과 같습니다.

$target_dir = "uploads/";
$target_file = $target_dir . basename($_FILES["file"]["name"]);
$uploadOk = 1;
$imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION));

// 允许的文件类型
$allowedTypes = array('jpg', 'jpeg', 'png', 'gif');

// 验证文件类型
if (!in_array($imageFileType, $allowedTypes)) {
    $uploadOk = 0;
}

if ($uploadOk == 0) {
    echo "Upload failed";
} else {
    if (move_uploaded_file($_FILES["file"]["tmp_name"], $target_file)) {
        echo "File is valid, and was successfully uploaded.";
    } else {
        echo "Upload failed";
    }
}

로그인 후 복사

파일 확장자 화이트리스트 및 파일 형식 검사를 사용하면 사용자가 업로드한 파일 형식을 신뢰할 수 있는지 확인하여 파일 업로드 취약점을 방지할 수 있습니다.

요약:

위는 몇 가지 일반적인 PHP 취약점과 이를 방지하는 방법에 대한 코드 예제입니다. 악의적인 공격의 위협으로부터 당사 웹사이트를 보호하기 위해서는 항상 사용자 입력을 검증 및 처리하고 민감한 작업을 구축하기 위해 사용자 입력을 직접 사용하지 않는 것이 중요합니다. 또한 PHP 프레임워크와 종속성을 정기적으로 업데이트하고 유지하는 것도 웹사이트 보안을 보장하는 데 중요합니다. 이 기사가 PHP 웹사이트 보안을 이해하고 개선하는 데 도움이 되기를 바랍니다.

위 내용은 PHP 웹사이트 보안: 일반적인 취약점을 피하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!