[TIL] 생활코딩 WEB2-php (21.08.25)
보안 파일 경로 보호
URL을 이용한 공격
- data디렉토리 밖에 password.txt파일이 있다면 공격자는 URL id값에 부모 디렉토리를 뜻하는 '../password.txt'를 입력해서 그 안의 데이터를 출력하게 할 수 있다.
- 📌 basename()은 파일의 경로에서 파일명만을 추출해주는 함수.
- 예를들어
echo basename("data/".$_GET['id']);
라면 부모디렉토리를 뺀 파일 이름만 출력된다.
- 따라서 basename()을 이용하면 부모 디렉토리로 접근을 막음.
- delete_process에서도 부모디렉토리의 접근을 막기위해 basename()함수를 사용했다.
👍WEB2-PHP 끝!