[Web Application-모의해킹] SQL Injection : 시큐어 코딩(에러 메시지 출력 방지) #3-3

2024. 4. 27. 11:21Project/Web Application-모의해킹

 

시큐어 코딩 : 에러 메시지 출력 방지

 

1) 개요

 

  Project:Web Site 웹 사이트 모의해킹으로는 발견되지 않았지만 Error Based SQL Injection 취약점을 방지하기 위한 대응 방안으로 에러 메시지 출력을 방지하는 방법을 알아본다.

 

 

2) 방법

 

  PHP에서는 php.ini 파일에서 에러 메시지 출력 여부를 설정할 수 있다. php.ini 파일에서 'display_errors = OFF'로 변경하거나 특정 페이지만 에러 메시지 출력 방지를 원할 경우 상단에 ini_set('display_errors', '0'); 코드를 입력한다.

 

 

3) 시큐어 코딩

 

[1] php.ini 내 display_errors

 

  php.ini 파일에서 display_errors를 찾게 되면 기본값이 OFF로 되어있다. 만약 에러 메시지 출력을 원한다면 ON으로 바꾸면 된다. 

 

[2] 웹 페이지 상단 ini_set('display_errors', '0');

1
2
3
4
5
<?php
 
  ini_set( 'display_errors''0' );
 
?>
cs

 

  특정 웹 페이지에서 에러 메시지가 출력되는 것을 원하지 않는다면 특정 웹 페이지 코드 상단에 위 코드를 입력하여 에러 메시지가 출력되지 않도록 할 수 있다.