Daniel's Knowledge Storage

회원 인증 로그인 시스템 보안 php.ini 에서 register_globals=off 하시면 , 일단 보안이 되구요. 세션을 사용시 $_SESSION 이나 $HTTP_SESSION_VARS[] 형태로 사용하여야 합니다. 왼쪽에 PHP4.1.1 아래 관련 게시물 주욱 보시면 됩니당 글구 회원 비번은 md5() 로 암호화 하시구요. 쿠키는 사용하지 마세요. 회원이 비번을 잊어 버렸을 경우는 회원 email 주소로 새로운 비번을 쏴주시구요. 세션의 경우 회원id 세션과 회원 비번 md5 암호화 한 세션 , 2개 로 비교 하세요. 회원 레벨..준회원..정회원..관리자 등이 있을 경우는 3개 로 비교 하시구요. 1개 로만 절대로 비교 하시지 말구요 ! 회원 정보 수정 시 form 에서 맨아래 무조건 회원 비번을..

PHP 보안 크리스 쉬플릿 | 한동훈 옮김 한빛미디어 2006.03.04 크리스 쉬플릿(Chris Shiflett) 저,「PHP 보안(Essential PHP Security」에서 저자는 이 책에서 가장 먼저, 넘겨받은 값(POST, GET, REQUEST)의 정화(淨化)에 대해 몇 번이고 강조한다. 해킹의 대부분은 바로 이 값을 넘어온 그대로 사용하는 실수로 인해 벌어진다고 한다. 심지어 저자는 (MySql) DB에 입력된 데이터 마저도 신뢰해서는 안 된다고 한다. 아무튼, 악의적인 사용자가 아니라 하더라도 넘어온 값을 그대로 사용한다면 예기치 않은 오류들이 발생할 수도 있다. 따라서, 코드의 상단에 간단히 아래와 같이 넘어온 값은 정화작업을 거치는 것이 좋다. 이를테면, $clean_text = ht..

웹사이트를 방어하기위한 간단한 php (mysql)함수를 소개합니다. mysql_real_escape_string() 함수입니다. get 으로 받건 post로 받건 request 로 받건 받으면서 이녀석으로 둘러싸줍시다 . 해커라고 설쳐대는 똥파리들의 침입을 막아줍니다. 부정침입자는 ip를 기록해뒀다가 사이버 수사대에 넘겨줍시다 . 단, 사용하면서 문제가 생길수있습니다. 줄바꿈 문자가 돌출됩니다. 같은 이유로 nl2br() 함수가 먹지않습니다. \r\n 이 -> \\r\\n (편의상 \를 w로 썼습니다.) 으로 치환되기 때문인데 ...이부분을 찾아서 br태그와 교환해주면 됩니다. 위지윅 이라면 줄바꿈에 태그가 들어가니까 신경 안써도 됩니다. 그냥 텍스트로 전송할 경우에만 해당되는 이야기 입니다. Exam..