Excel 매크로 보안 PHP 프로그래밍 보안 요약

규칙 1: 외부 데이터나 입력을 절대 신뢰하지 마세요
웹 애플리케이션 보안에 대해 가장 먼저 깨달아야 할 것은 외부 데이터를 신뢰해서는 안 된다는 것입니다. 외부 데이터에는 프로그래머가 PHP 코드에 직접 입력하지 않은 모든 데이터가 포함됩니다. 다른 소스(예: GET 변수, 양식 POST, 데이터베이스, 구성 파일, 세션 변수 또는 쿠키)의 모든 데이터는 보안을 보장하기 위한 조치를 취할 때까지 신뢰할 수 없습니다.
사용자 입력을 삭제하는 간단한 방법은 정규 표현식을 사용하여 처리하는 것입니다.
규칙 2: 보안 구현을 어렵게 만드는 PHP 설정을 비활성화합니다.
이제 사용자 입력을 신뢰할 수 없다는 점을 알았으니, 시스템에서 PHP가 구성되는 방식도 신뢰해서는 안 된다는 점을 알아야 합니다. 예를 들어, Register_globals가 비활성화되어 있는지 확인하십시오. Register_globals가 활성화되면 $variable을 사용하여 GET 또는 POST 문자열을 동일한 이름으로 바꾸는 것과 같은 부주의한 작업을 수행할 수 있습니다. 이 설정을 비활성화하면 PHP는 올바른 네임스페이스에서 올바른 변수를 참조하도록 강제합니다. POST 형식의 변수를 사용하려면 $_POST['variable'] 을 인용해야 합니다. 이렇게 하면 이 특정 변수를 쿠키, 세션 또는 GET 변수로 착각하지 않을 것입니다.
두 번째로 확인해야 할 설정은 오류 보고 수준입니다. 개발 중에는 가능한 한 많은 오류 보고서를 얻고 싶지만, 프로젝트를 전달할 때는 오류가 화면에 표시되지 않고 로그 파일에 기록되기를 원합니다. 그 이유는 악의적인 해커가 오류 보고 정보(예: SQL 오류)를 사용하여 응용 프로그램이 수행하는 작업을 추측할 수 있기 때문입니다. 이러한 종류의 정찰은 해커가 애플리케이션을 침해하는 데 도움이 될 수 있습니다. 이 취약점을 해결하려면 php.ini 파일을 편집하여 error_log 항목에 적합한 대상을 제공하고 display_errors를 Off로 설정하십시오.
규칙 3: 이해하지 못하면 보호할 수 없습니다
일부 개발자는 이상한 구문을 사용하거나 문장을 매우 촘촘하게 구성하여 짧지만 모호한 코드를 만듭니다. 이 접근 방식은 효율적일 수 있지만 코드가 수행하는 작업을 이해하지 못하면 코드를 보호하는 방법을 결정할 수 없습니다.
규칙 4: '심층적인 방어'가 새로운 마법입니다.
PHP 정규식을 사용하여 GET 변수가 완전히 숫자인지 확인하더라도 SQL 쿼리가 이스케이프된 사용자 입력을 사용하도록 조치를 취할 수 있습니다.
심층 방어는 단순히 좋은 생각이 아니라 심각한 문제에 빠지지 않도록 보장합니다.

이상으로 엑셀 매크로 보안 내용을 포함하여 엑셀 매크로 보안과 PHP 프로그래밍 보안에 대한 요약을 소개하였습니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되었으면 좋겠습니다.