PHP가 현재 가장 인기 있는 웹 애플리케이션 프로그래밍 언어라는 것은 누구나 알고 있습니다. 그러나 다른 스크립팅 언어와 마찬가지로 PHP에도 몇 가지 위험한 보안 허점이 있습니다. 따라서 이 튜토리얼에서는 일반적인 PHP 보안 문제를 방지하는 데 도움이 되는 몇 가지 실용적인 팁을 살펴보겠습니다.
팁 1: 적절한 오류 보고서를 사용하세요
일반적으로 개발 과정에서 많은 프로그래머는 항상 프로그램 오류 보고서를 작성하는 것을 잊어버립니다. 적절한 오류 보고서가 최선일 뿐만 아니라 디버깅 도구이기도 하기 때문입니다. 뛰어난 보안 취약점 탐지 도구를 사용하면 애플리케이션을 온라인에 올리기 전에 직면하게 될 문제를 최대한 많이 찾아낼 수 있습니다.
물론 오류 보고를 활성화하는 방법에는 여러 가지가 있습니다. 예를 들어, php.in 구성 파일에서
런타임 시 오류 보고 시작
error_reporting(E_ALL);
오류 보고 비활성화
error_reporting(0);
팁 2: PHP의 Weak 속성을 사용하지 마세요
OFF로 설정해야 하는 PHP 속성이 몇 가지 있습니다. 일반적으로 PHP4에는 존재하지만 PHP5에서는 사용하지 않는 것이 좋습니다. 특히 PHP6에서는 이러한 속성이 제거되었습니다.
전역 변수 등록
register_globals를 ON으로 설정하면 환경, GET, POST, COOKIE 또는 서버 변수를 전역 변수로 정의하는 것과 같습니다. 현재로서는 'username' 형식 변수를 얻기 위해 $_POST['username']을 작성할 필요가 없습니다. 이 변수를 얻으려면 '$username'만 필요합니다.
그렇다면 Register_globals를 ON으로 설정하면 이렇게 편리한 장점이 있으니 사용해 보는 것은 어떨까요? 이렇게 하면 많은 보안 문제가 발생하고, 지역 변수 이름과 충돌할 수도 있기 때문입니다.
예를 들어 다음 코드를 살펴보세요.
if( !empty( $_POST[‘username'] ) && $_POST[‘username'] == ‘test123′ && !empty( $_POST[‘password'] ) && $_POST[‘password'] == “pass123″ ) { $access = true; }
작동 중에 Register_globals가 ON으로 설정된 경우 사용자는 쿼리 문자열에 access=1만 전송하면 PHP 스크립트로 실행되는 모든 항목을 얻을 수 있습니다. php.ini
php_flag register_globals 0
의 .htaccess
register_globals = Off
팁 4: 사용자의 크로스 사이트 스크립팅 공격 방지
웹 애플리케이션에서는 양식에 사용자 입력을 수락한 다음 결과에 피드백을 주는 것이 간단합니다. 사용자 입력을 받을 때 HTML 형식 입력을 허용하는 것은 매우 위험합니다. 왜냐하면 이렇게 하면 JavaScript가 예측할 수 없는 방식으로 침입하여 직접 실행될 수도 있기 때문입니다. 이러한 취약점이 하나만 존재하더라도 쿠키 데이터를 탈취할 수 있으며, 사용자의 계정을 탈취할 수도 있습니다.팁 5: SQL 주입 공격 방지
PHP는 기본적으로 데이터베이스를 보호하는 도구를 제공하지 않으므로데이터베이스에 연결
할 때 다음mysqli_real_escape_string 함수를 사용할 수 있습니다. 아아아아
위 내용은 보안성이 뛰어난 PHP 웹사이트를 만드는 방법, 웹사이트 제작 시 주의해야 할 보안 문제 정리의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!