보안 파일 경로 보호
URL을 이용한 공격
- data디렉토리 밖에 password.txt파일이 있다면 공격자는 URL id값에 부모 디렉토리를 뜻하는 '../password.txt'를 입력해서 그 안의 데이터를 출력하게 할 수 있다.
- 📌 basename()은 파일의 경로에서 파일명만을 추출해주는 함수.
- 예를들어
echo basename("data/".$_GET['id']);라면 부모디렉토리를 뺀 파일 이름만 출력된다. - 따라서 basename()을 이용하면 부모 디렉토리로 접근을 막음.
- delete_process에서도 부모디렉토리의 접근을 막기위해 basename()함수를 사용했다.
👍WEB2-PHP 끝!
바른 자세로 코딩합니다 👦🏻💻