PHP 등록 공격을 예방하는 실제 사례 및 솔루션

PHP 등록 공격 예방을 위한 실제 사례 및 솔루션

소개:

인터넷의 급속한 발전으로 인해 네트워크 보안 문제는 점점 더 심각해지고 있습니다. 그 중 등록 방지 스와이프 공격은 일반적인 공격 방법입니다. 공격자는 자동화된 스크립트나 악성 프로그램을 사용하여 다수의 계정을 등록하는데, 이는 서버 리소스를 크게 소모하고 정상적인 웹 사이트 사용에 영향을 미칩니다. 이번 글에서는 PHP를 기반으로 한 실제 사례를 소개하고 그에 따른 방어 솔루션을 제시하겠습니다.

사례 배경:

사용자 등록 기능이 있다고 가정해 보겠습니다. 사용자는 등록하려면 사용자 이름, 비밀번호, 이메일 주소 및 기타 정보를 입력해야 합니다. 사용자가 제출한 등록 정보를 받은 후 시스템은 PHP 스크립트를 통해 사용자 정보를 데이터베이스에 기록합니다.

공격자는 자동화된 프로그램이나 스크립트를 이용하여 서버에 한번에 대량의 등록 요청을 보내고 대량의 악성 계정을 즉시 등록합니다. 이러한 공격 방법은 서버 자원을 고갈시켜 일반 사용자가 등록이나 로그인을 할 수 없게 되어 웹사이트에 심각한 문제를 야기하게 됩니다.

방어 솔루션:

1. 인증 코드 기능 추가

인증 코드는 현재 로봇 공격을 방지하기 위해 가장 일반적으로 사용되는 수단 중 하나입니다. 사용자 등록 페이지에 인증코드 기능을 추가하면, 사용자가 진짜인지 확인하기 위해 사진 속 인증코드를 입력하라는 요청을 받을 수 있습니다.

코드 예:

<!-- 在注册页面的表单中添加验证码输入框 -->
<form action="register.php" method="post">
  <!-- 其他表单字段 -->
  <label for="captcha">验证码：</label>
  <input type="text" name="captcha" id="captcha" required>
  <img src="/static/imghw/default1.png"  data-src="captcha.php"  class="lazy" alt="验证码">
  <!-- 其他表单字段 -->
  <button type="submit">注册</button>
</form>

<!-- 生成验证码的captcha.php文件 -->
<?php
session_start();

// 生成随机验证码
$code = substr(md5(rand()), 0, 4);

// 将验证码存入SESSION中
$_SESSION['captcha'] = $code;

// 创建一个空白图片
$image = imagecreatetruecolor(80, 40);

// 设置颜色
$bgColor = imagecolorallocate($image, 255, 255, 255);
$textColor = imagecolorallocate($image, 0, 0, 0);

// 填充背景色
imagefill($image, 0, 0, $bgColor);

// 写入验证码
imagestring($image, 5, 20, 10, $code, $textColor);

// 输出图片
header('Content-type: image/jpeg');
imagejpeg($image);

// 销毁图片
imagedestroy($image);
?>

위 코드에서는 먼저 등록 페이지의 양식에 인증 코드 입력 상자를 추가해야 합니다. 사용자는 등록을 완료하기 위해 인증 코드를 올바르게 입력해야 합니다. 동시에 인증코드 이미지를 생성하려면 서버에 captcha.php 파일을 생성해야 합니다. 이 파일은 임의의 확인 코드를 생성하여 SESSION에 저장합니다. 그런 다음 PHP의 imagecreatetruecolor() 함수를 사용하여 빈 이미지를 만들고 배경색과 텍스트 색상을 설정한 후 이미지에 확인 코드를 작성합니다. 마지막으로 생성된 인증코드 이미지는 헤더 기능을 통해 브라우저에 출력됩니다. imagecreatetruecolor()函数创建一个空白图片，设置背景色和文字颜色，并将验证码写入图片中。最后，通过header函数将生成的验证码图片输出到浏览器中。

2. 添加IP和用户限制

通过限制同一IP或同一用户在一定时间内只能注册一次，可以有效减缓注册防刷攻击的影响。

代码示例：

<?php
session_start();

// 获取IP地址
$ip = $_SERVER['REMOTE_ADDR'];

// 获取用户ID或其他唯一标识符
$userId = isset($_SESSION['user_id']) ? $_SESSION['user_id'] : '';

// 设置时间间隔限制（单位：秒）
$timeLimit = 60;

// 检查用户是否已经在规定时间内注册过
if (checkRegistrationLimit($ip, $userId, $timeLimit)) {
  // 用户已经在规定时间内注册过，显示错误信息，禁止注册
  echo '您已经在规定时间内注册过了！';
  exit;
}

// 其他注册逻辑

// 完成注册后记录IP和用户信息
recordRegistrationInfo($ip, $userId);

// 其他后续操作

// 检查用户是否在规定时间内已经注册过
function checkRegistrationLimit($ip, $userId, $timeLimit) {
  // 在数据库或文件中记录用户注册时间
  // 判断是否在指定时间内已经注册过
  // 返回true或false
}

// 记录用户注册信息
function recordRegistrationInfo($ip, $userId) {
  // 在数据库或文件中记录用户IP和用户ID等信息
}
?>

在上述代码中，首先通过$_SERVER['REMOTE_ADDR']获取用户的IP地址，通过$_SESSION['user_id']获取用户的ID或其他唯一标识符。设置一个时间间隔限制，例如60秒。然后，通过checkRegistrationLimit()函数检查用户是否在规定时间内已经注册过。如果是，则显示错误信息，禁止注册；否则，执行其他注册逻辑，并在注册完成后使用recordRegistrationInfo()

IP 추가 및 사용자 제한

동일 IP 또는 동일 사용자가 일정 기간 내에 한 번만 등록하도록 제한함으로써 등록 안티 브러싱 공격의 영향을 효과적으로 완화할 수 있습니다. .

🎜코드 예: 🎜rrreee🎜위 코드에서 먼저 $_SERVER['REMOTE_ADDR']를 통해 사용자의 IP 주소를 얻은 다음 $_SESSION['user_id']를 전달합니다. > 사용자의 ID 또는 기타 고유 식별자를 가져옵니다. 60초와 같은 시간 간격 제한을 설정합니다. 그런 다음 checkRegistrationLimit() 함수를 사용하여 지정된 시간 내에 사용자가 등록했는지 확인합니다. 그렇다면 오류 메시지가 표시되고 등록이 금지되고, 그렇지 않으면 다른 등록 로직이 실행되고 등록이 완료된 후 recordRegistrationInfo() 함수를 사용하여 사용자의 IP, 사용자 ID 및 기타 정보. 🎜🎜결론: 🎜🎜인증 코드 기능, IP 및 사용자 제한 등을 추가하면 PHP 등록 안티 브러싱 공격을 효과적으로 방지할 수 있습니다. 실제 개발에서는 특정 상황에 따라 해당 조정이 이루어질 수 있으며 웹사이트의 보안을 향상시키기 위해 기타 보안 조치가 추가될 수 있습니다. 🎜

위 내용은 PHP 등록 공격을 예방하는 실제 사례 및 솔루션의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!