简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
> 백엔드 개발 > PHP 튜토리얼 > 본문

취약점이 포함된 PHP 파일에 대한 자세한 설명과 예방방법

PHPz
풀어 주다: 2023-06-08 11:04:02
원래의
1454명이 탐색했습니다.

PHP 파일 포함 취약점 및 예방 방법에 대한 자세한 설명

웹 애플리케이션에서 파일 포함 기능은 매우 일반적인 기능입니다. 그러나 사용자가 입력한 매개변수를 주의 깊게 처리하지 않으면 파일 포함 취약점이 발생할 수 있습니다. 이 취약점으로 인해 공격자는 PHP 코드를 업로드하고 이를 응용 프로그램에 포함시켜 서버를 제어할 수 있습니다. 따라서 PHP 파일 인클루젼 취약점의 원인과 예방 방법에 대한 심층적인 이해가 매우 필요합니다.

PHP 파일 포함 취약점의 원인

PHP 파일 포함 취약점의 발생은 일반적으로 다음 두 가지 이유와 관련이 있습니다.

1. 사용자 입력 데이터를 올바르게 필터링하지 못함

PHP에서는 include, require 및 기타를 사용할 수 있습니다. 하나의 PHP 파일에 대한 함수는 다른 PHP 파일에 포함됩니다. 이러한 함수에서 사용자가 제출한 데이터를 파일 경로로 사용하면 공격자는 악성 코드가 포함된 PHP 스크립트를 쉽게 구성하여 서버에 업로드할 수 있습니다. 예: 

<?php
   $page=$_GET['page'];
   include($page);
?>
로그인 후 복사

이 예에서 공격자는 페이지 매개변수를 http://example.com/shell.php로 설정하여 shell.php 파일을 애플리케이션에 포함시킬 수 있습니다.

2. 사용자 입력 데이터의 적법성이 검증되지 않았습니다

사용자 입력 데이터가 필터링되더라도 공격자는 여전히 다른 방법을 사용하여 파일 포함 취약점을 달성할 수 있습니다. 예를 들어, ../와 같은 상대 경로를 사용하여 액세스하거나 %00 등을 사용하여 null 종료 문자를 우회합니다. 예: 

<?php
   $page=$_GET['page'];
   include('pages/'.$page);
?>
로그인 후 복사

이 예에서 공격자는 페이지 매개 변수를 ../shell.php로 설정하여 페이지 디렉터리의 파일 제한을 우회하고 상위 디렉터리의 shell.php 파일에 액세스할 수 있습니다.

PHP 파일 포함 취약점을 방지하는 방법

PHP 파일 포함 취약점을 효과적으로 방지하려면 다음 사항에 주의해야 합니다.

1 가능하면 절대 경로를 사용하세요.

절대 경로를 사용하면 공격자의 공격을 효과적으로 방지할 수 있습니다. using... / 및 기타 상대 경로는 제한을 우회합니다. 예를 들어 $_SERVER['DOCUMENT_ROOT']를 사용하여 웹 사이트의 루트 디렉터리를 얻은 다음 특정 파일 경로와 함께 include, require 및 기타 기능을 사용할 수 있습니다. 예: 

<?php
   $page=$_GET['page'];
   include($_SERVER['DOCUMENT_ROOT'].'/pages/'.$page);
?>
로그인 후 복사

2. 화이트리스트를 사용하여 입력 데이터 필터링

허용된 모든 파일 이름을 포함하는 화이트리스트를 만든 다음 사용자가 입력한 데이터를 필터링합니다. 예: 

<?php
   $page=$_GET['page'];
   $whitelist=array('home','about','contact');
   if(in_array($page,$whitelist)){
      include("pages/".$page.".php");
   }else{
      echo "Invalid page requested";
   }
?>
로그인 후 복사

3. include, require 등의 기능과 사용자가 입력한 데이터를 각각 다른 문에 넣습니다.

include, require 등의 기능과 사용자가 입력한 데이터를 각각 다른 문에 넣어 효과적으로 방지할 수 있습니다. 몇 가지 작은 버그. 예: 

<?php
   $page=$_GET['page'];
   $file="pages/".$page;
   if(file_exists($file)){
      include($file);
   }else{
      echo "Invalid page requested";
   }
?>
로그인 후 복사

간단히 말하면, 웹 애플리케이션 개발자가 PHP 파일 포함 취약점의 원인과 예방 방법을 이해하는 것은 매우 필요합니다. 적절한 예방 방법과 좋은 프로그래밍 습관을 사용하면 파일 포함 취약점의 발생을 효과적으로 줄이고 WEB 애플리케이션의 보안도 향상할 수 있습니다.

위 내용은 취약점이 포함된 PHP 파일에 대한 자세한 설명과 예방방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
php文件包含 漏洞防范 方法详解
원천:php.cn
이전 기사:PHP 및 FAQ의 해시 암호화 기술 다음 기사:PHP 및 JavaScript와 상호작용하기 위한 방법 및 FAQ
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
Guzzle 예외 잡기 개발 중인 API에서 실행되는 일련의 테스트에서 예외를 포착하려고 하며 Guzzle을 사용하여 API 메서드를 사용하고 있습니다. 테스트를 try/catch 블록...
에서 2023-11-16 14:36:03
0
12
290
Laravel Eloquent를 사용하여 필터 및 페이지 매김 구현 데이터베이스에서 모든 고객 기록을 반환하는 API를 만들려고 합니다. 그러나 이는 페이징 및 필터링 기능을 제공합니다. 에서 필터 함수는 선택적 쿼리 매개변수입니...
에서 2023-11-12 18:42:35
0
1
310
웹사이트 트래픽 통계가 정확하지 않습니다. <?php$counterFile = './counter.txt'; // 카운터 파일이 있는지 확인 if (file_exists($counterFile)) {...
에서 2023-11-12 21:49:13
0
0
137
Apache 구성에서 파일 업로드 크기 늘리기 여러분, 안녕하세요! Apache 구성에서 파일 업로드 크기 용량을 늘리려고 하지만 정확히 수행하는 방법을 모르기 때문에 이 구성 문제로 어려움을 겪고 있습니다....
에서 2023-11-11 11:00:33
0
1
287
PHP에서 max_input_vars를 수정할 수 없습니다. 무들을 설치하려면 PHP에서 max_input_vars 값을 늘려야 합니다. 그러나 php.ini 파일의 값을 변경해도 무들웹 설치 프로그램은 여전히 ​​다음과 ...
에서 2023-11-10 11:49:31
0
1
277
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!