홈으로 | 무료회원가입 | 아이디/비번찾기
추천음악방송
파일 업로드 보안 문제 - 7 가지 모두 체크 !!!
10년 전
1.php,inc,html,htm,phtml,php3 등의 확장자는 절대로 올릴 수 없게 한다 !
.txt 도 못올리게 합니다. .txt 를 사용해서 쿠키를 훔칠수도 있슴다.


2.업로드 디렉토리는 무조건 htdocs 아래 말고 다른 디렉토리 에 올린다 !!
/updir 이나 c:\updir 등 htdocs 와 관련이 없는 디렉토리에 올리게 한다. !!

3.CP명령을 사용시에 exec(cp $file , 처럼 exec() 를 절대로 사용하지 말아야 한다.
기냥 cp()만을 사용하라 !!!
www.php.net/cp

4.REQUEST_METHOD!="POST" 로 체크 해서 올리기
POST 가 아닐 경우 올리지 못하게 !!!
form 에서 method=get 으로 절대 절대 하지 마세요 !!!
php.ini 에서 register_globals=off 라면
$HTTP_SERVER_VARS['REQUEST_METHOD'] 로 출력 해야 합니당..ㅋㅋㅋ


<?php

if ($submit) {
    if ($REQUEST_METHOD == 'POST') {
        // 정상 실행
    }
    else {
         echo 'get 값은 받지 않아요 !!';
    }
else {
    echo '훔....잘못된 입력 !!!';
}

?>

5.파일명이 pass 나 shadow 나 리눅스 시스템 파일일 경우는 올리지 못하게 하기 위해
파일명 중에 pass 나 shadow 등이 있을 경우 올리지 못하게 !!!
그러니까 koreapass.zip 파일 같은 것도 올라가지 않겟죠 ^^
그래도 보안을 위해서라면 ^^ /etc/passwd 파일(리눅스 파일)의 업로딩을 방지 합니다.

그러니까 upload.php 파일을 이용하여 주소표시줄에서
upload.php?file_name=/etc/passwd&file_type=text&file_size=30
등으로 해서 해킹할 시스템의 passwd 파일을 자료실에 올리고 다운 받을 수 있다고 합니다.
그래서 취한 조치 입니다.

6.또는 file_exists($file_name) 를 사용하여 체크 합니다. 로컬시스템에 파일이 있으면 절대 못올리게
합니다 ^^ /etc/passwd 파일의 업로딩을 방지 합니다.





7. PHP 4.1.2 최신 버전 말고는 모두 파일 업로드 버그가 존재 한다고 합니다.

PHP4.1.2 버젼 설치 하세용 !!!
추천추천 : 535 추천 목록
번호 제목
3,025
 윈도우10 시스템파일 손상 (초간단 오류 복구방법!!)
3,024
 PHP 파일 존재 여부 파악하기(로컬 파일 존재 및 원격지 파일 존재)
3,023
 [CSS] 박스 세로 가운데 중앙 정렬 6가지
3,022
 CSS Layout 수평 & 수직 정렬
3,021
 여러 도메인들 간 쿠키 공유하기
3,020
 태그 사이에 있는 텍스트를 추출
3,019
 [JQuery] textbox focus on off일때 숫자 콤마 보여주기
3,018
 쿠키 생성,가져오기,삭제
3,017
 사용자 함수 모음
3,016
 마우스,키보드 제한 ( 오른쪽클릭,드래그,영역선택등..)
3,015
 [HTML5] <video> - DOM으로 제어하기
3,014
 HTML5 video 태그에서 영상 좌우반전
3,013
 PHP - 특정 태그 및 문자열 추출, 제거
3,012
 [PHP] define과 defined의 차이
3,011
 우클릭 완벽차단 스크립트
3,010
 iframe 높이 100% 맞추기
3,009
 curl 함수를 이용한 HTTP REFERER 변경
3,008
 윈도우10 시스템 파일 및 Dism 검사
3,007
 텍스트 줄바꿈, 글자자르기 CSS
3,006
 jQuery Mobile에서 유용한 코드 10가지.
3,005
 [PHP] dirname()함수와 $_SERVER 관련 상수들
3,004
 [PHP] 파일 크기, 사이즈 불러오는 함수, filesize()
3,003
 [jQuery] jQuery Quick API
3,002
 [ transition ] 링크 hover 색상 변화 속도 조절
3,001
 PHP 5.3.0 에서 사라진 함수들 대체
목록
뮤직트로트 부산광역시 부산진구 가야동 ㅣ 개인정보취급방침
Copyright (C) musictrot All rights reserved.