Modern PHP - 맛보기 PDF

More documents

Recommendations

Info

5.1 위험 제거, 유효성 검사, 예외 처리 TV 드라마 《엑스 파일 The X-Files 》의 남자 주인공 멀더는 “아무도 믿지 말라”는 말을 종종 하곤했 다. 프로그램 세계에서도 자신이 직접 통제하는 출처로부터 나온 데이터가 아니라면 그 어떤 데이터도 절대 믿으면 안 된다. 다음과 같은 몇몇 외부 출처들이 있다. ● $_GET ● $_POST ● $_REQUEST ● $_COOKIE ● $argv ● php://stdin ● php://input ● file_get_contents() ● 원격 데이터베이스 ● 원격 API ● 고객의 데이터 이 모든 외부 데이터 출처는 여러분의 스크립트로 악의적인 데이터를 주입할 수 있는(고의든 우연이든) 잠재적 침입 경로다. 사용자 입력을 받고 결과를 출력하는 스크립트는 쉽게 작성할 수 있다. 하지만 그러한 일을 안전하게 수행하는 스크립트를 작성하기 위해서는 고민이 약간 더 필요하다. 가장 단순하게 충고한다! 입력값의 위험을 제거하고 데이터의 유효성을 검사하고 출력을 예외 처리하라. 5.1.1 입력값 위험 제거 입력값(예: 앞선 목록에 있는 출처로부터 나온 데이터)의 위험을 제거하면 안전하지 않은 문 자가 예외 처리되거나 제거된다. 입력 데이터가 애플리케이션 저장소 계층(예: 레디스 Redis 나 MySQL)에 도달하기 전에 위험을 제거하는 것이 중요하다. 이것이 첫 번째 방어선이다. 예를 들어 여러분의 웹 사이트 댓글란에 HTML이 허용된다고 가정해보자. 기본적으로 방문자가 다 음과 같은 악성 태그를 댓글 내용에 포함시키는 것을 막을 방법이 없다. 52 2부 모범 사례
유용한 게시물입니다! window.location.href ='http://example.com'; 이 댓글의 위험을 제거하지 않으면 악의적인 코드가 데이터베이스에 주입되고 웹 사이트 마크 업으로 출력될 수 있다. 웹 사이트 방문자가 이 댓글이 있는 페이지에 들어가면 유해한 웹 사이 트로 이동하게 된다. 이런 불상사는 자신의 통제 범위 밖에 있는 입력 데이터의 위험을 왜 제거 해야만 하는지 알려주는 단편적인 예시다. 내 경험상 가장 자주 접하는 입력 데이터는 HTML, SQL 쿼리, 사용자 정보(예: 이메일 주소, 전화번호)다. HTML HTML 특수문자(예: &, >, ″)는 htmlentities() 함수(http://php.net/manual/func tion.htmlentities.php)를 이용해서 각각에 해당하는 HTML 엔티티로 교체한다(예제 5-1 ). 이 함수는 대상 문자열에 있는 모든 HTML 문자를 예외 처리하고 애플리케이션 저장소 계층에 안전한 문자열로 변환한다. 하지만 htmlentities ( ) 함수는 우둔하다. HTML 입력을 검증하지 않으며 기본적으로 홑따옴표를 예외 처리하지 않는다. 입력 문자열의 문자 집합을 검출하지도 못한다. html entities() 함수를 사용하는 올바른 방법이 [예제 5-1]에 있다. 첫 번째 인수는 입력 문자열 이다. 두 번째 인수는 ENT_QUOTES 상수며 홑따옴표를 인코딩하도록 지시한다. 세 번째 인수로 는 입력 문자열의 문자 집합을 명시한다. 예제 5-1 htmlentities( ) 함수로 입력 위험 제거하기
Page 1 and 2: 네임스페이스, 트레이트,
Page 3: www.hanbit.co.kr 지금은 모던
Page 9 and 10: 로럴을 위해
Page 11 and 12: 하기 쉽고 빠르게 개발할
Page 13 and 14: 들어가며 온라인에는 수없
Page 15 and 16: 부록 B는 프로덕션 서버에
Page 17 and 18: CONTENTS 옮긴이의 글 .........
Page 19 and 20: 3.6 PSR-3: 로거 인터페이스 .
Page 21 and 22: 5.4.1 PDO 확장 ..................
Page 23 and 24: 8.2 메모리 .....................
Page 25 and 26: CHAPTER 11 프로파일링 11.1 프
Page 27: APPENDIX A PHP 설치 A.1 리눅스
Page 30 and 31: 다. 그러나 PHP는 (Bash, 루비
Page 32 and 33: 1.3 미래 젠드 엔진은 빠른
Page 34 and 35: 네임스페이스 1 하위에 각
Page 36 and 37: 컴포넌트와 프레임워크 제
Page 38 and 39: 임스페이스도 비슷한 문제
Page 40 and 41: 3.1 PHP-FIG 구조대 이러한 문
Page 42 and 43: 일은 신규 프로젝트 기여
Page 44 and 45: 지는 각 단어의 첫 글자는
Page 46 and 47: 트가 이미 있는데 HTTP 요청
Page 48 and 49: 이런 기대는 종종 어긋난
Page 50 and 51: 4.4 컴포넌트 선택 모던 PHP
Page 54 and 55: preg_replace_all(), preg_replace_ca
Page 56 and 57: 서 찾아볼 수 있다. 더 많
Page 58 and 59: 메모리가 2GB로 한정되어
Page 60 and 61: PaaS 공급 업체의 제어판에
Page 62 and 63: 이번 장에서 나는 여러분
Page 64 and 65: 이 명령을 실행하면 운영
Page 66 and 67: 서는 개인 키를 사용해 메
Page 68 and 69: 지정했던 $PREFIX 디렉터리
Page 70 and 71: opcache.memory_consumption = 64 opc
Page 72 and 73: 8.5 최대 실행 시간 php.ini
Page 74 and 75: 9.2 배포 자동화 애플리케
Page 76 and 77: 9.3.2 설치 카피스트라노는
Page 78 and 79: config/deploy/production.rb 파일
Page 80 and 81: 여러분의 상사는 테스트를
Page 82 and 83: 한다. 단위 테스트를 선호
Page 84 and 85: www.hanbit.co.kr Hanbit eBook Realt
Page 86: 새로운 패러다임의 최신 PH

Modern PHP - 맛보기 PDF

Create successful ePaper yourself

Delete template?

Save as template?