'Web 프로그램/PHP 응용 및 활용'에 해당되는 글 46건

출처 : http://cacung82.blog.me/10035514681

n         쿠키란?

ü        쿠키란 서버측에서 클라이언트측에 상태 정보를 저장하고 추출할 수 있는 메커니즘

ü        클라이언트의 매 요청마다 웹 브라우저로부터 서버에게 전송되는 정보패킷의 일종

ü        HTTP에서 클라이언트의 상태 정보를 클라이언트의 하드 디스크에 저장하였다가 필요 시 정보를 참조하거나 재사용할 수 있음.

ü        사용 예

①   방문했던 사이트에 다시 방문 하였을 때 아이디와 비밀번호 자동 입력

②   팝업에서 “오늘 이 창을 다시 보지 않음” 체크

ü        쿠키의 제약조건

①   클라이언트에 총 300개까지 쿠키를 저장할 수 있다

②   하나의 도메인 당 20개의 값만을 가질 수 있다

③   하나의 쿠키 값은 4096Byte까지 저장 가능하다

n         세션이란?

ü     세션이란 클라이언트와 웹서버 간에 네트워크 연결이 지속적으로 유지되고 있는 상태를 말함

ü     클라이언트가 웹서버에 요청하여 처음 접속하면 JSP(혹은ASP)엔진은 요청한 클라이언트에 대하여 유일한 ID를 부여하게 되는데, 이 ID를 세션이라 부른다

ü     세션 ID를 임시로 저장하여 페이지 이동 시 이용하거나, 클라이언트가 재 접속 했을 때 클라이언트를 구분할 수 있는 유일한 수단이 된다

ü     세션의 장점

①  각각의 클라이언트마다 고유의 ID 부여

②  세션 객체마다 저장해 둔 데이터를 이용하여 서로 다른 클라이언트의 요구에 맞게 서비스 제공

③  클라이언트 자신만의 고유한 페이지를 열어놓아서 생길 수 있는 보안상의 문제 해결 용이

n         쿠키와 세션의 차이점

 쿠키(cookie)와 세션(session)은 기능상 비슷한 역할을 하고, 동작원리도 비슷하다. 왜냐하면, 일반적인 세션은 쿠키를 바탕으로 동작하기 때문이다. 그러나 가장 중요한 차이점은 저장되는 곳이 다르다는 것이다. 쿠키는 클라이언트에 저장되고, 세션은 서버에 저장된다. 쿠키의 경우에는 서버의 자원을 전혀 사용하지 않지만, 세션의 경우에는 서버에 저장되기 때문에 서버의 자원을 사용할 수가 있다. 쿠키와 세션의 만료 되는 기간도 다르다.

n    쿠키와 세션의 차이점(표)

아래 내용은 위의 출처와는 별개로 별도 작성한 사항이다.

세션은 서버 측에 존재하기 때문에 web 서버가 주기적으로 세션의 상태를 확인할 수 있어서 특정 시간동안 web site 내에서 어떠한 이동도 발생하지 않으면 사용자가 나간 것으로 간주하여 세션을 삭제할 수 있다.

기본적으로 24분을 기준으로 하여 세션을 삭제한다.

※ PHP 5.4 부터 session_register 기능이 없어졌다.

<?php

// PHP에서 세션을 사용하려면 세션을 시작해줘야 한다.

// 세션을 시작하지 않은 페이지에서는 세션 값을 사용할 수 없다.

if(!isset($_SESSION)) {
    session_start();
}

if(!function_exists('session_register'))
{
    // PHP 5.4 부터 session_register 가 없어져 만들어진 코드
    // var_dump($_SESSION);
    foreach($_SESSION as $sKey => $sVal)
    {
        if(!isset(${$sKey}))
        {
            ${$sKey} = $sVal;
        }
    }

    function session_register($key)
    {
        $_SESSION[$key] = $GLOBALS[$key];
    }
}

?>

이런 코드도 사용하지 않는게 좋다.

PHP에서 권고하는 $_GET, $_POST, $_REQUEST 배열로 변수를 넘기는 걸 사용하는게 좋다.

그래야 android 연동, C# 과의 연동할 때에도 제대로 연동된다.

index.php 파일에서 코드 작성시에 기본적으로 이런 형태로 구성된다.

세션 값이 존재하면 자동으로 main.php 파일로 이동하고, 세션이 없으면 Login Form 을 띄운다.

if(isset($_SESSION['userID'])){
    echo("<meta http-equiv='Refresh' content='0; URL=main.php'>");
} else {
    include($_SERVER['DOCUMENT_ROOT'].'/loginForm.php');
}

세션 유지 시간 설정값은 php.ini 파일에 있다.

session.cache_expire = 180

로 3분으로 되어 있다. 늘리고 싶으면 값을 조정하고 Apache 를 restart 해야 한다.

[Session]
session.save_handler = files
session.save_path = "/temp"    //세션이 저장될 경로
session.use_cookies = 1          //클라이언트의 쿠키로 세션 아이디를 저장함
session.name = PHPSESSID     //세션아이디를 저장할 쿠키 이름
session.auto_start = 0            // 자동으로 세션을 시작함
session.cookie_lifetime = 0     // 세션아이디를 저장할 쿠키의 폐기시간
session.cookie_path = /         //세션 아이디를 저장할 쿠키 경로
session.cookie_domain =        //세션 아이디를 저장할 쿠키의 도메인

세션을 사용하기 원하는 파일에서 맨 위에 아래와 같이 코드를 추가해준다.

<?php

if(!isset($_SESSION)) {
    session_start();
}

?>

보통은 session_start(); 만 적어주면 되는데 jQuery 를 이용하여 코딩을 하다보면 파일을 include_once, require_once 로 파일을 include 하는 경우가 많다.

이때 세션이 있는 상태에서 또 세션이 들어오면 세션 중복 경고 메시지가 뜬다.

이런 경우를 방지하기 위해서 위와 같이 코드를 적어주는게 좋다.

<?php
// DB 연동후에 가져온 결과값
if(is_array($row)){
    if($row[0]==1){
        if(!isset($_SESSION)) {
            session_start();
        }
        $_SESSION['userID'] = $row['userID'];;
        $_SESSION['userIdx'] = $row['idx'];
    }
}
?>

세션이 동작하지 않을 때

ㅇ 웹브라우저 보안 수준이 높게 설정된 경우

ㅇ 웹브라우저 도구->인터넷옵션->개인정보에서 설정이 모든 쿠키를 차단하는 경우

세션 삭제

<?php
if(!isset($_SESSION)) {
    session_start();
}
session_destroy(); 
?>

session_unset("변수");  // 현재 변수의 값을 삭제하고 변수도 소멸시키는 함수

session_unset($_SESSION['userID']);

-----------------------------------------------------------------------------------------------

<?php
if(!isset($_SESSION)) {
    session_start();
}
$POST['userID']='jsk005@naver.com';
$_SESSION['userID']=$POST['userID'];
$id=$_SESSION['userID'];

if (isset($_SESSION['userID']) && !empty($_SESSION['userID']))
 echo $_SESSION['userID']. "님 반갑습니다.";
else
 echo "SESSION 없다.";
?>

세션 공격 방어

세션 토큰이 생성과는 과정은 위의 그림과 같다.

1. 서버에서 로그인 성공이후 세션 정보를 생성하면 해당 정보를 지정한 디렉토리에 PHPSESSIONID 를 저장한다.

2. 클라이언트는 세션 정보를 브라우저를 통해 COOKIE로 저장해둔다.

세션 쿠키의 값을 알아낼 수 있다면 아이디와 비번 따위는 훔칠 필요도 없다.

세션 쿠키를 사용하면 남의 아이디로 로그인된 상태로 만들 수 있다.

세션 고정 공격은 공격자가 정상적으로 얻을 수 있는 권한보다 높은 권한을 가진 SID를 획득하기 위해 수행하는 공격이므로, 로그인 하는 등 권한이 변경될 때마다 SID를 재생성한다면 무력화시킬 수 있다.

http/https 혼합 환경에서 세션 보안 강화하기 https://www.phpschool.com/gnuboard4/bbs/board.php?bo_table=tipntech&wr_id=79296 참조

변수에 대한 이해 http://link2me.tistory.com/996 에 isset 과 empty 에 대한 설명이 있다.

<? phpinfo();?>

홈페이지에 설치된 정보를 보기 위해서는 이 한줄만 있으면 된다.

정보를 알 수 있어 좋지만 노출되면 보안 문제가 발생할 수도 있다.

PHP 기본 함수

PHP 함수를 다 열거할 수는 없고 좀 더 자주 봤으면 하는 것만 발췌하여 작성한다.

완성형 한글의 경우 한글은 2바이트로 영어는 1바이트로 구성되기 때문에 PHP의 substr() 함수를 쓸 때 한글이 깨지는 경우가 있다. 이런 경우 mb_substr() 함수로 대체하면 된다.

substr ($str, $start_Pos, $length);
$Str에 담고 있는 문자열의 $start_Pos부터 길이$length만큼을 잘라내어 반환한다

mb_substr ($str, $start_Pos, $length, $encoding);
$str에 담고 있는 문자열의 $start_Pos부터 길이$length만큼을 잘라내어 $encoding 형식에 맞게 반환한다

mb_substr($str, 0, 10, 'EUC-KR');
mb_substr($str, 0, 10, 'UTF-8');

function strcut_euckr($msg, $limit) {    // 완성형 한글 자르기
    $msg = substr($msg, 0, $limit);
    for ($i = $limit - 1; $i > 1; $i--) {   
        if (ord(substr($msg,$i,1)) < 128) break;
    }
    $msg = substr($msg, 0, $limit - ($limit - $i + 1) % 2);
    return $msg;
}


function strcut_utf8($str, $len, $checkmb=false, $tail='') {  // UTF-8 한글자르기
    /** UTF-8 Format
    * 0xxxxxxx = ASCII, 110xxxxx 10xxxxxx or 1110xxxx 10xxxxxx 10xxxxxx
    * latin, greek, cyrillic, coptic, armenian, hebrew, arab characters consist of 2bytes
    * BMP(Basic Mulitilingual Plane) including Hangul, Japanese consist of 3bytes
    **/
    preg_match_all('/[\xE0-\xFF][\x80-\xFF]{2}|./', $str, $match); // target for BMP
     
    $m = $match[0];
    $slen = strlen($str); // length of source string
    $tlen = strlen($tail); // length of tail string
    $mlen = count($m); // length of matched characters
     
    if ($slen <= $len) return $str;
    if (!$checkmb && $mlen <= $len) return $str;
     
    $ret = array();
    $count = 0;
    for ($i=0; $i < $len; $i++) {
        $count += ($checkmb && strlen($m[$i]) > 1)?2:1;
        if ($count + $tlen > $len) break;
        $ret[] = $m[$i];
    }    
    return join('', $ret).$tail;
}

※ 문자열의 '바이트 수'를 확인하려면 strlen() 함수를, '문자 수'를 조사하려면 mb_strlen() 함수를 사용해야 한다.

영문이나 숫자 등의 싱글 바이트 문자로 구성된 문자열에서는 strlen() 함수와 mb_strlen() 함수의 결과는 같다.

하지만, 멀티바이트 문자를 포함하는 문자열(한국어, 일본어, 중국어 등)에서는 결과가 다르다.

접속 IP 검사

<?php
$UserIP = $REMOTE_ADDR;

$ip_extract = explode(".",$UserIP);  //.로 분리해서 배열로 저장
$UserIP_trim = $ip_extract[0].".".$ip_extract[1].".".$ip_extract[2];

$IP_block1 = '192.168.1';

if($UserIP_trim != $IP_block1) {
   echo "<script> window.alert('허용IP대역 아님'); history.back();</script>";

   //echo ("<meta http-equiv='Refresh' content='0; URL=/'>");  // 홈으로 이동시킴
}
?>

IP검사를 하고 검사조건과 틀리면 history.go(-1) 뒤로 이동하거나 홈으로 이동 등 원하는 조건으로 분기시킬 때 유용하게 사용할 수 있다.

PHP 변수전달 GET, POST

$_POST 와 $_GET 같은 슈퍼 전역 배열은 PHP 4.1.0 이후버전부터 사용되기 시작했다.

$_REQUEST 는 $_GET 배열과 $_POST 배열 둘다 처리할 수 있다.

수퍼 전역변수

$_COOKIE    HTTP 쿠키 변수
$_FILES      업로드시 파일 정보 변수
$_SESSION  세션 변수
$_SERVER   웹서버와 PHP 환경에서의 환경 설정 변수

전역변수 : 모든 함수와 어느 영역이든 사용 가능한 변수

GET

같은 페이지가 아닌 다른페이지에서 값을 넘겨 받을때 사용되어지는 방식

직접 url에 ? 로 붙여서 전달하는 방법

웹브라우저의 URL에는 같이 넘어갈수 있는 글자수에 한계(255자)가 있다.

POST

폼을 통해 입력받은 값을 전달하는 방법

POST 방식은 GET 방식과 달리 정보를 첨부파일 형태로 전달하기 때문에 보안성이 GET 방식에 비해 좋으며, 보내는 정보의 크기에 제한이 없다.

POST 방식의 단점 : 속도가 GET방식보다 느리다고 하는데 차이가 없다. 보안상 POST 방식을 사용하는게 좋다.

php 파일(Page)에서 다른 파일(Page)로 변수를 전달할 때 $_GET 배열이나 $_POST 배열로 넘긴다.

받아들이는 쪽에서 둘다 받아들이게 하려면 $_REQUEST 배열로 받는다.

$_GET['변수명']

$_POST['변수명'];    // 변수명 예를 들면 username
$_POST['$변수명'] --> $변수명

으로 받을수 있는건 php.ini 에서 register_globals=On 인 상태에서만 작동한다.

PHP 5.4 부터 session_register 기능이 없어졌다.

register_globals = on
  가능 -> $_POST['user_name']
  가능 -> $user_name
register_globals = off
  가능 -> $_POST['user_name']
  불가능 -> $user_name  // 단, extract($_POST) 추가시 가능

extract($_POST); 를 한줄 상단에 추가해주면 $_POST['$변수명'] 대신에 $변수명 을 사용할 수 있다.

단 보안을 고려하여 

if(isset($_POST) && $_SERVER['REQUEST_METHOD'] == "POST"){

@extract($_POST); // $_POST['loginID'] 라고 쓰지 않고, $loginID 라고 써도 인식되게 함

}

와 같이 해주는 것이 바람직하다.

먼저, 다음과 같이 텍스트 입력 박스가 들어간 간단한 HTML 코드를  보자.

HTML 에서 page 간에 값을 넘기는 방식이 GET방식과 POST 방식이 있다.

아래 코드는 POST 방식으로 값을 넘기는 예제이다.

method="post" 를 지정하지 않으면 GET방식으로 데이터를 전달한다.

=== registerform.html ===
<form method = "post" action = "register.php">
  나이? <input type = "text" name = "age">
  <input type = "submit" value = "확인">
</form>

HTML에서 method="value" 와 같이 value가 숫자가 아닐 경우에는 quote를 해 주는 것이 좋다.
그리고 HTML quote시에는 single quote보다 double qoute가 렌더링 시에 더 빠르다.

password와 같은 정보는 GET 보다는 POST로 넘겨야 안전하다.

input type을 hidden으로 해주면 화면상에는 몇개 안보이지만 실제로는 많은 변수를 넘겨줄 수 있다.

<input type="hidden" name="num" value="<?php echo $_GET['num']; ?>">

위 코드를 웹 브라우저로 확인하면 입력 박스 한 개와 확인 버튼이 나오게 된다.
그리고, 그 입력 박스에 사용자가 "30" 이라고 입력하고 확인 버튼을 누르게 되면 입력된 문자열은 위 코드에 기술되어 있듯이 text 양식의 name 에 해당되는 "age" 에 담겨져 action 에 명시된 "register.php" 로 넘겨진다.

다음으로 register.php 웹 페이지가 호출되면 registerform.html 에 기술된 텍스트 박스의 name 에 해당되는 "age" 라는 이름을 갖는 변수 즉, $age 변수 형태($_POST['age'])로 전달이 되어진다.

이 때, $age 변수에는 사용자가 registerform.html 웹 페이지에서 입력한 "30" 이라는 문자열이 담겨져 있다.
그럼 실제로 register.php 에 다음과 같은 코드를 작성해서 확인한다.

=== register.php ===
<?php
$age = $_POST['age'];
echo "당신의 나이는 : $age";
?>

결과로 당신이 나이는 : 30
위와 같이 php 에서는 이전 입력 페이지의 폼(form)에 입력된 값을 구하기 위해서는 $_POST['폼 텍스트 박스명'] 형태로 기술해주면 된다.

<form method = "post" action = <?=$PHP_SELF?> >
폼에 임의의 값을 입력받아 자신의 파일($PHP_SELF)로 그 정보를 넘기는 PHP, 즉 자신을 다시 호출함

자신의 파일을 다시 호출하지만, 변수 인식은 $_POST 배열로 받아서 처리한다.

아래 예제에서 $_POST 배열, $_GET 배열일 때 받는 변수에 따라 각각 처리하는 걸 확인할 수 있다.

위와 같이 하나의 파일에서 두개의 파일(Form 전송파일: 파일 A, Action 처리 파일 : 파일 B)의 역할을 동시에 하는 것은 바람직한 코딩은 아니다.

그냥 이렇게 코딩하는 것도 있더라 라고 알아두면 좋을 거 같다.