PHP 프로그래밍 팁, 요령 및 보안

PHP는 실제로 가장 프로그래밍 중 하나입니다웹 애플리케이션 작성을위한 언어. 그렇게 인기있는 것은 Mysql Database와의 쉬운 통합입니다. 때로는 기능 친화적 인 언어가 프로그래머에게 너무 많은 도움을 줄 수 있으며 보안상의 허점이 생겨 심각한 보안 문제가 발생할 수 있습니다.

초보자 수준의 응용 프로그램 보안을 유지하고 일반적인 보안 위험을 피하는 데 도움이되는 몇 가지 팁이 있습니다.

1) 오류보고 : 오류보고는 가장 큰 동맹국 중 하나입니다프로그래머를 위해. 오류를보고하십시오. 데이터베이스에서 사용자에게 직접 오류 메시지를 표시하지 않기를 원합니다. 이것은 보안 함정을 매우 쉽게 드러 낼 것입니다. 오류를 신고하려면 간단히 진술을 포함하십시오.
=> error_reporting (0);

2) 활성 스크립트를 중지하여 데이터를 인계: 웹 애플리케이션은 많은 사용자 입력을 필요로합니다여러 다른 형태로 표시합니다. 입력을 수락하는 동안 HTML은 의도하지 않은 방식으로 Java 스크립트를 실행하므로 위험 할 수 있습니다. 이것은 쿠키를 쉽게 납치 할 것입니다.

삼) 확인: 어플리케이션이 입력을보다 안전하게서버 쪽이 아닌 사용자 쪽에서 유효성을 검사하십시오. 예를 들어, 라이브러리 관리는 새 사용자 데이터베이스를 작성하기 위해 학생 ID를 입력합니다. 따라서이 필드에서 예상되는 입력을 거의 알고 있습니다. 입력하자마자 확인하는 것이 더 좋습니다.
간단한 검증은 단지
만약 (! preg_match (“/ ^ [0-9] {8} $ /”, $ _GET [‘id’]))

{

// 오류보고
학생 ID 8 자리를 입력하십시오

}

4) 세션 ID 보호

세션 ID 하이재킹은 PHP에서 문제가 될 수 있습니다웹 사이트. PHP 세션 추적 구성 요소는 각 사용자의 세션에 고유 한 ID를 사용하지만이 ID가 다른 사용자에게 알려지면 해당 사용자가 사용자의 세션을 가로 채어 기밀 정보를 볼 수 있습니다. 세션 ID 하이재킹을 완전히 막을 수는 없습니다. 위험을 알아야 위험을 완화 할 수 있습니다.

5) 적절한 세션 예를 들어 사용자가세션 ID의 유효성을 검사하고 할당 한 경우 암호 재설정과 같이 매우 민감한 작업을 수행 할 때 해당 사용자를 다시 확인해야합니다. 예를 들어, 세션 검증 된 사용자가 이전 비밀번호를 입력하지 않고 새 비밀번호를 입력하지 않도록하십시오. 또한 세션 ID로만 검증 된 사용자에게는 신용 카드 번호와 같은 매우 중요한 데이터를 표시하지 않아야합니다.

6) SQL 주입 방지
SQL 인젝션 공격은유효한지 확인하지 않은 사용자 입력에서 나옵니다. 데이터베이스 시스템이 악성 코드를 실행하여 민감한 정보를 공개하거나 서버를 손상시키는 악성 코드를 실행하는 것을 목표로합니다.

여기 예제

addslashes () 함수를 이미 사용하고 있지만 쿼리는 SQL 삽입에 더 취약합니다. 이 위협을 피할 수있는 몇 가지 방법이 있습니다.

1. mysql_query () 함수를 사용하여 쿼리를 실행하기 전에 sprintf () 함수를 사용하십시오.

2. mysql_real_escape_string () 함수를 사용하여 POST / GET 데이터를 모두 전달한 다음 쿼리에 전달하십시오.

여기에 예가 있습니다

도움이 필요하면 의견 섹션에 알려주십시오. :)