PHP가 사실 보안에 조금 약한면이있다. 웹 언어이고 또 register_globals 같은것만 봐도..ㅎㅎ
워낙 php가 대중적(?)이다보니 책에 나와있는 내용도 몇 가지는 이미 알고있던 내용들이긴 하지만 그 와중에 저자의 나름 꽁수가 있어 즐겁다.
예를들면 session을 생성할 때 보통 md5 암호화 한다. 그러나 알다시피 md5는 더이상 최상의 보안수단이 되지 않는다. 해서 md5(임의의 문자열 . md5(세션값)) 이런식으로 HTTP 헤더, 세션, 쿠기 등을 모두 암호화 하면 인증을 뚫고 공격할 가능성은 거의 불가능에 가깝다. 물론 인증과 권한을 유지하는 경우에만 해당된다.
이 책에서 말하는 내용을 한마디로 요약하자면
“입력을 신뢰하지 않는 것이 응용프로그램의 보안 구멍을 예방하는 핵심”
이란다. ㅎㅎ
트랙백 URL: http://reric.com/wp/2006/04/11/379/trackback