'PHP보안'에 해당되는 글 1건

  1. 2011.05.19 MySQL, PHP 애플리케이션 보안
반응형
I. sql 보안
    1. mysqli->real_escape_string()
        - characters encoded are NUL (ASCII 0), \n, \r, ', ", Contrl-Z

II. php 애플리케이션 보안
    1. htmlspecialchars()
        - &, <, > 을 html entity로 변환

    2. htmlspecailchars()
        - entity 로 표현될 수 있는 모든 것을 교체
        - 두번째 파라미터
            . ENT_COMPAT : 큰따옴표를 &quot;로 변환하되 작은 따옴표는 그대로 둔다.
            . ENT_QUOTES  : 작은따옴표와 큰따옴표 모두를 각각 &#39; 와 &quot; 로 변환
            . ENT_NOQUOTES(기본값) : 어떠한 따옴표도 변환하지 않는다.
        - 두번째 파라미터
            . UTF-8 : 문자열 인코딩 타입

        예) $str = htmlspecailchars($input_str, ENT_QUOTES, "UTF-8");
              echo nl2br($str);

    3. PHP 단방향 해쉬 암호화 알고리즘
        - crypt() < md5() < sha1()
            .sha1() 함수는 40개의 문자열로 리턴된다.

    4. MySQL 단방향 암호화 알고리즘
        - sha1()

III. php 서버설정 보안
    1. php.ini 파일에서 allow_url_fopen을 막는다.
    2. 웹서버에서 .php 와 .html 파일에 대한 요청만을 수용한다.
    3. 사용자가 파일을 읽는 경로를 보내면 상대경로와 절대경로를 잘 파악하여 중요한 파일을 못읽게 한다.

IV. Javascript 보안
    1. XSS 공격 막는 방법
        - 동적으로 생성되는 데이터에 다음의 코드를 추가한다.
            .  content = content.replace(/</g, "&lt;").replace(/>/g, "&gt;");

반응형
Posted by seungkyua@gmail.com
,