SIR
c

php 보안팁 [php.ini] - 필수보안 사항

cmpanel
프로필 보기이 회원 글보기이 회원의 댓글보기
 · 18년 전 · 2826 · 4
주의사항: 본 팁 은 선의에 입각하여 제공합니다. 아래의 작업중 발생하는 어떠한 책임도 지지 않습니다.

#개요 :
php는 매우 편리하고 사용하기 쉬운 언어이나 대부분의 리눅스 서버에 php 설치시 기본값은 php functions을 제한하지 않습니다.

#잠정문제점 중 하나:
하지만 php로 만든 아주 간단한 phpshell 파일을 웹호스팅 계정에 올려놓고 실행시키면 같은 서버내에 있는 모든 계정 (domain1.co.kr, domain100.net...등) 에 있는 99.9% 의 모든 데이터베이스를 사용하는 프로그램 (예, 게시판, 쇼핑몰 등 포함) 의 Database 사용자, 이름, 및 암호를 바로 알아 낼 수 있습니다. 이는 매우 중대한 위험 요소입니다.

쇼핑몰의 고객정보를 누구나 빼 갈수 있다고하면 매우 큰 일이 일어날 수 있습니다.

#해결방법 :
/etc/php.ini 을 열어서 아래의 부분을 찾아서,  아래부분을 찾아서
; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions =

아래처럼 변경하여 줍니다. 특히 proc_open는 꼬~~~ 옥 넣어주어야 합니다.
; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions = "system,exec,shell_exec,proc_open"

#실제 상황 :
구글등에서 php shell 를 검색후 phpshell 파일을 계저에 올려놓고 실행을 하여 봅니다. 그래서 아래처럼 나오면 정상입니다 - 즉,  php shell 이 작동되지 않게 세팅이 되어 있는 경우입니다.

Fatal Error!

proc_open() has been disabled for security reasons

in /home/sunjoo/html/phpshell/phpshell.php, line 240.


# 실제스크린샷 ( 보안이 되지 않았을 경우....)
아래에서 'cat' 이라는 명령어는 파일 내용을 보여주기이며 dbconfig.php 는 이 파일을 보여주라는 명령입니다. 보시다시피 아래는 db 암호를 바로 볼 수 있는 경우 입니다....
$ cat dbconfig.php
<?
$mysql_host = "localhost";
$mysql_user = "penguins_crm";
$mysql_password = "password";
$mysql_db = "penguins_crm";
?>

아래는 cd / 하여서버 루트로 간 경우입니다. 즉 서버내 어떤곳이든 이동하여 상당수 파일을 볼 수 있습니다. 왜냐하면 게시판등 db 정보를 포함하는 파일은 대부분이 권한이 others 도 rw 로 되어 있기 때문입니다.
$ cd /
$ dir
backup    boot  etc   lib        media  mnt  opt   root    selinux  sys  usr
bin    dev   home  lost+found    misc   net  proc  sbin    srv     tmp  var

[이 게시물은 관리자님에 의해 2011-10-31 17:12:10 PHP & HTML에서 이동 됨]
#개발자팁 #개발자 #팁자료실 #mysql
|
글쓰기

댓글 4개

PPhotoFly
프로필 보기이 회원 글보기이 회원의 댓글보기
 18년 전
좋은 정보 감사합니다...^^

disable_functions = "phpinfo"

이렇게 한다면

phpinfo();

를 사용할수없게되겠죠?
hhanpedro
프로필 보기이 회원 글보기이 회원의 댓글보기
 17년 전
이런 무서운 일이 있었네요?
ccmpanel
프로필 보기이 회원 글보기이 회원의 댓글보기
 17년 전
서버호스팅을 하시면 고객이 ssh 요청을 할 경우에도, 이점을 유의하셔야 합니다. 즉, ssh 계정으로 로그인하면 사실상 db 정보를 볼 수 있기 때문입니다.

PhotoFly 님의 아이디어는 생각을 못 해 보았네요. ^.^ 항상 많은 좋은 팁 고맙습니다
ccomet
프로필 보기이 회원 글보기이 회원의 댓글보기
 17년 전
좋은정보 감사합니다~
이전글목록다음글
댓글을 작성하시려면 로그인이 필요합니다. 로그인

프로그램

태그 필터 (최대 3개) 전체 개발자 소스 기타 mysql 팁자료실 javascript php linux flash 정규표현식 jquery node.js mobile 웹서버 os 프로그램 강좌 썸네일 이미지관련 도로명주소 그누보드5 기획자 견적서 계약서 기획서 마케팅 제안서 seo 통계 서식 통계자료 퍼블리셔 html css 반응형 웹접근성 퍼블리싱 표준화 반응형웹 홈페이지기초 부트스트랩 angularjs 포럼 스크린리더 센스리더 개발자톡 개발자팁 퍼블리셔톡 퍼블리셔팁 기획자톡 기획자팁 프로그램강좌 퍼블리싱강좌
+
제목 글쓴이 날짜 조회
17년 전 조회 3,474
17년 전 조회 5,833
17년 전 조회 1,413
17년 전 조회 2,147
17년 전 조회 1,781
17년 전 조회 1,522
17년 전 조회 2,411
17년 전 조회 2,620
17년 전 조회 1,586
17년 전 조회 2,676
17년 전 조회 3,165
17년 전 조회 1,519
17년 전 조회 1,933
17년 전 조회 3,838
17년 전 조회 4,467
17년 전 조회 1,865
17년 전 조회 1,721
17년 전 조회 2,663
17년 전 조회 1,843
17년 전 조회 3,928
17년 전 조회 1,636
16년 전 조회 1,919
17년 전 조회 2,253
17년 전 조회 2,101
17년 전 조회 3,559
17년 전 조회 1,577
17년 전 조회 2,647
17년 전 조회 1,628
17년 전 조회 1,899
17년 전 조회 7,417
17년 전 조회 1,991
17년 전 조회 4,082
18년 전 조회 2,416
18년 전 조회 2,425
18년 전 조회 2,144
18년 전 조회 2,186
18년 전 조회 2,611
18년 전 조회 3,207
18년 전 조회 5,315
18년 전 조회 2,772
18년 전 조회 2,688
18년 전 조회 2,537
18년 전 조회 1,787
18년 전 조회 2,194
18년 전 조회 5,301
18년 전 조회 3,016
18년 전 조회 2,578
18년 전 조회 3,251
18년 전 조회 2,469
18년 전 조회 2,827
18년 전 조회 5,857
18년 전 조회 2,608
18년 전 조회 2,004
18년 전 조회 2,638
18년 전 조회 1,467
18년 전 조회 9,791
18년 전 조회 4,447
18년 전 조회 3,275
18년 전 조회 1,803
18년 전 조회 3,594
18년 전 조회 2,273
18년 전 조회 3,719
18년 전 조회 5,168
18년 전 조회 3,822
18년 전 조회 2,669
18년 전 조회 2,928
18년 전 조회 2,437
18년 전 조회 2,775
18년 전 조회 1,889
18년 전 조회 3,428
18년 전 조회 2,129
18년 전 조회 2,257
18년 전 조회 2,073
18년 전 조회 3,041
18년 전 조회 1,991
18년 전 조회 2,658
18년 전 조회 3,862
18년 전 조회 4,556
18년 전 조회 2,364
18년 전 조회 2,834
18년 전 조회 4,608
18년 전 조회 2,672
18년 전 조회 1,866
18년 전 조회 3,310
18년 전 조회 3,128
18년 전 조회 3,850
18년 전 조회 2,163
18년 전 조회 2,334
18년 전 조회 9,995
18년 전 조회 3,498
18년 전 조회 3,293
18년 전 조회 3,171
18년 전 조회 2,790
18년 전 조회 4,145
18년 전 조회 5,489
18년 전 조회 3,733
18년 전 조회 3,183
18년 전 조회 3,598
18년 전 조회 2,256
18년 전 조회 2,685
이전 첫 페이지 다음
글쓰기
🐛 버그신고