한국어
한국어
인터넷 기술의 지속적인 개발로 RESTFUL API는 개발자에게 일반적으로 사용되는 기술 중 하나가되었습니다. 매우 유연하고 단순화되며 교차 플랫폼 및 교차 통신을 지원할 수 있습니다. 그러나 API 사용 시나리오가 증가함에 따라 보안 문제가 점점 더 중요 해지고 있습니다. 민감한 데이터를 보호하고 사용자 개인 정보를 보장하는 것은 모든 개발자가 직면 해야하는 과제입니다. 이 기사는 HTTPS 암호화, 인증 및 승인, 입력 검증 및 SQL 주입 방지와 같은 보안 조치에 중점을 둔 PHP에 안전한 RESTFUL API를 작성하는 방법을 공유합니다.
RESTFUL API의 통신을 보장하려면 HTTPS 프로토콜을 사용하여 데이터를 암호화해야합니다. HTTPS는 SSL/TLS 암호화 프로토콜을 통해 클라이언트와 서버간에 암호화 채널을 생성하여 데이터 전송의 보안을 보호합니다.
다음은 HTTPS를 활성화하는 방법을 보여주는 PHP 예입니다.
<?php
// 할 수 있게 하다 HTTPS
$ssl = true;
$ssl_version = 'TLSv1.2'; // 실제 상황에 따라 수정할 수 있습니다
// 요청이 있는지 확인하십시오 HTTPS 규약
if (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] !== 'off') {
$ssl = true;
}
// 根据是否할 수 있게 하다 HTTPS 응답을 설정하십시오
if ($ssl) {
header('Strict-Transport-Security: max-age=31536000'); // 설정 HSTS(HTTP엄격한 전송 보안)헤더 정보
}
?>RESTFUL API의 보안은 인증 및 승인 메커니즘에 따라 다릅니다. 인증은 사용자의 신원을 확인하고 그가 API에 액세스 할 수있는 권한이 있는지 확인하는 것입니다. 승인은 리소스에 대한 사용자의 운영 권한을 결정하는 것입니다.
다음은 인증 및 승인을 구현하는 방법을 보여주는 PHP 예입니다.
<?php
// 사용자가 제공 한 인증 자격 증명을 얻습니다(예를 들어 token、API 키 등)
$header = apache_request_headers();
$token = $header['Authorization'];
// 인증 인증서가 유효한지 확인하십시오
if (!isValidToken($token)) {
http_response_code(401); // 반품 401 Unauthorized 상태 코드
exit();
}
// 리소스에 대한 사용자의 작동 권한을 확인하십시오
if (!hasPermission($token, $resource)) {
http_response_code(403); // 반품 403 Forbidden 상태 코드
exit();
}
?>악의적 인 사용자가 안전하지 않은 데이터를 제출하지 못하도록하려면 입력 데이터를 확인하고 필터링해야합니다. 유효한 입력 검증은 SQL 주입, XSS 공격 등과 같은 보안 취약점을 방지 할 수 있습니다.
다음은 입력 데이터를 확인하고 필터하는 방법을 보여주는 PHP 예입니다.
<?php
// 입력 데이터를 얻습니다
$data = json_decode(file_get_contents('php://input'), true);
// 데이터를 확인하십시오
if (!isValidData($data)) {
http_response_code(400); // 반품 400 Bad Request 상태 코드
exit();
}
// 필터 데이터
$filteredData = filterData($data);
?>API는 종종 데이터베이스와 상호 작용할 때 SQL 주입 공격으로 위협을받습니다. SQL 주입 취약점을 피하려면 PHP가 제공하는 전처리 문을 사용하는 것이 좋습니다.
다음은 SQL 주입을 방지하기 위해 전처리 문을 사용하는 방법을 보여주는 PHP 예입니다.
<?php
// 데이터베이스에 연결하십시오
$pdo = new PDO('mysql:host=localhost;dbname=mydb', 'username', 'password');
// 준비하다 SQL 성명
$stmt = $pdo-> 준비 ( 'select * username = : username');
// 바인드 매개 변수 $ stmt-> bindparam ( ': username', $ username);
// 쿼리 실행 $ stmt-> execute ();
// 결과를 가져옵니다 $ result = $ stmt-> fetch ();
?>로깅 및 모니터링은 API의 보안에 중요합니다. API 요청 로그를 기록하고 예외를 모니터링함으로써 개발자는 적시에 보안 취약점을 발견하고 빠르게 응답 할 수 있도록 도와 줄 수 있습니다.
다음은 API 요청 로그를 기록하는 방법을 보여주는 PHP 예입니다.
<?php
// 액세스 시간을 기록합니다、요청 방법 및 요청 경로
file_put_contents('access.log', date('Y-m-d H:i:s') . ' ' . $_SERVER['REQUEST_METHOD'] . ' ' . $_SERVER['REQUEST_URI'] . PHP_EOL, FILE_APPEND);
?>이 기사에서는 HTTPS 암호화, 인증 및 인증, 입력 검증 및 SQL 주입 보호와 같은 주요 보안 조치를 포함하여 PHP를 사용하여 안전한 RESTFUL API를 작성하는 방법에 대해 설명합니다. 실제 개발에서 API의 보안을 더욱 향상시키기 위해 개발자는 보안 토큰 사용, 요청 빈도 제한 등과 같은 다른 보호 조치를 채택 할 수 있습니다. 가장 중요한 것은 개발자는 항상 인터넷 보안 추세에주의를 기울이고 API 보안 보호를 업데이트 및 강화해야합니다.
관련 태그:
API
