PHP 파일에 취약점이 포함되지 않도록 방지하는 모범 사례-PHP 튜토리얼-php.cn

PHP 파일에 취약점이 포함되지 않도록 방지하는 모범 사례

王林

풀어 주다： 2023-07-08 20:00:02

원래의

932명이 탐색했습니다.

PHP 파일 포함 취약점을 방지하기 위한 모범 사례

PHP의 파일 포함 기능은 개발자가 다양한 코드 조각을 결합하여 코드 재사용을 달성할 수 있도록 하는 매우 일반적으로 사용되는 기능입니다. 그러나 파일 포함 기능을 잘못 사용하면 보안 취약점이 발생하여 공격자가 악성 코드를 실행하거나 민감한 정보에 접근할 수도 있습니다.

이 문서에서는 개발자가 PHP 파일 포함 기능을 사용할 때 보안 취약점을 방지하는 데 도움이 되는 몇 가지 모범 사례와 제안을 소개합니다.

사용자 입력 확인

사용자 입력은 보안 취약점의 가장 일반적인 원인 중 하나입니다. 파일 포함 기능을 사용하기 전에 사용자 입력을 적절하게 필터링하고 처리해야 합니다. 파일 포함 작업에 사용자 입력을 직접 사용하지 말고 대신 유효성을 검사하고 삭제하세요.

예제 코드:

$filename = $_GET['file'];
if (preg_match('/^[a-zA-Z0-9_-]+$/',$filename)) {
    include($filename . '.php');
} else {
    // 非法的文件名
    echo 'Invalid file name';
}

로그인 후 복사

위 예에서는 정규식을 사용하여 파일 이름을 필터링하고 문자, 숫자, 밑줄 및 하이픈이 포함된 합법적인 파일 이름만 허용합니다. 파일 이름이 유효하면 파일 포함 작업이 수행되고, 그렇지 않으면 오류 메시지가 반환됩니다.

절대 경로 사용

상대 경로 대신 절대 경로를 사용하면 보안이 강화됩니다. 상대 경로를 사용하면 파일에 포함된 대상 파일이 공격자가 제어하는 파일로 대체될 수 있습니다. 따라서 포함된 파일을 참조하려면 절대 경로를 사용하는 것이 좋습니다.

예제 코드:

$filename = '/path/to/included/file.php';
include($filename);

로그인 후 복사

위 예에서는 상대 경로가 아닌 절대 경로를 사용하여 포함하려는 파일을 참조합니다.

포함된 파일에 대한 화이트리스트 설정

파일 포함 범위를 제한하기 위해 지정된 파일만 포함되도록 화이트리스트를 설정할 수 있습니다. 화이트리스트를 배열 또는 구성 파일에 저장하고 포함하기 전에 파일의 유효성을 검사하십시오.

샘플 코드:

$whitelist = ['file1.php', 'file2.php'];

$filename = $_GET['file'];
if (in_array($filename, $whitelist)) {
    include($filename);
} else {
    // 无权访问文件
    echo 'Access denied';
}

로그인 후 복사

위의 예에서는 화이트리스트에 정의된 파일만 포함되며, 그렇지 않으면 오류 메시지가 반환됩니다.

동적 파일 포함 비활성화

PHP 구성 파일의 allow_url_include를 Off로 설정하여 동적 파일 포함을 비활성화하세요. 이렇게 하면 공격자가 원격 파일을 포함시켜 악성 코드를 실행하는 것을 방지할 수 있습니다. allow_url_include设置为Off以禁用动态文件包含功能。这可以防止攻击者通过包含远程文件来执行恶意代码。

示例代码(php.ini)：