• 목록
  • 아래로
  • 위로

안녕하세요?


이틀 전 질문 드린 VPS에서 생성한 CSV 파일을 웹호스팅에서 읽는 방법에 대해 제 나름대로 코드를 작성했는데요.


보안상 취약점 등 제가 미처 생각하지 못한 문제는 없는지 마지막으로 질문 드립니다 ^^



말씀해주신 여러 방법들에 관하여 고민을 해봤는데요.


humit 님께서 조언해주신 "csv 파일을 생성하고 있는 서버에서 requests 모듈을 이용해서 파일 업로드를 하는 방식"으로 결정했습니다.



제 생각에는 이 방식은 다음과 같은 장점이 있을 것 같아요 :)


1. HTML의 input 태그와 PHP의 move_uploaded_file 함수를 막지 않는 이상 어떠한 웹호스팅 환경에서도 사용 가능한 방법이며


2. 파일 생성시간으로부터 동기화 될 때까지의 시간이 사실상 0에 가깝고


3. VPS에서 파이썬으로 CSV 파일을 생성하여 업로드하는 것만 crontab에 넣으면 되어서 나중에 데이터 수집 간격을 조정하기 용이합니다.


반면 업로드 용도의 PHP 파일을 제3자가 악용할 수 있는 보안상 취약점이 있다는 것이 가장 큰 단점일 것 같네요 ㅠㅠ



위와 같은 장점이 있다고 생각되어서 최종적으로 requests 모듈로 업로드 하는 방법을 택하게 되었네요.


제 나름대로 공부를 해서 부족한 부분이 많겠지만 서버(웹호스팅) 측의 PHP 파일과 클라이언트(VPS) 측의 python 파일을 작성해봤어요.


매우 허접하지만 일단 제가 의도한 대로 작동하기는 하네요 ^^;



우선 PHP 파일인데요.


보안상 취약점을 보완하기 위해서 제 나름대로 다음과 같은 조치를 취했습니다.


1. 클라이언트의 IP를 체크하여 특정 IP인 경우에만 전체 스크립트가 작동하도록 하고


2. 패스워드를 확인하며


3. 특정 파일명이 아니라면 업로드를 할 수 없도록 했습니다.

(나중에 하나의 CSV 파일을 계속 overwrite 하는 방식으로 실사용할 예정이에요)


<!-- IP, 비번, 파일명을 확인하여 지정된 폴더에 파일을 업로드하는 코드입니다 -->
<?php
if ($_SERVER['REMOTE_ADDR'] == '클라이언트 IP') {
  if(isset($_POST['submit'])) {
     if(is_uploaded_file($_FILES["upload_file"]["tmp_name"])) {
       if ($_FILES["upload_file"]["name"] != 'CSV 파일명' || $_POST["mb_pwd"] != '패스워드')
         exit("Error : You can't access.");
       $upload_dir = "./업로드할 폴더/";
       echo "Uploaded file : " . $_FILES["upload_file"]["name"];
       $file_name = $upload_dir . $_FILES["upload_file"]["name"];
       if(move_uploaded_file($_FILES["upload_file"]["tmp_name"], $file_name))
         echo " - Success";
       else
         exit(" - Upload failed.");
     } else {
         echo "No file was selected.";
     }
  }
?>
<!-- 이하 패스워드를 입력하고 파일을 선택하는 HTML form 부분입니다 -->
<!DOCTYPE html>
<html>
  <body>
    <form enctype="multipart/form-data" method="post" accept-charset='UTF-8'>
      <fieldset>
        <input type="password" name="mb_pwd" /><br />
        <input type="file" name="upload_file" /><br />
        <input type="submit" value="OK" name="submit"/>
      </fieldset>
    </form>
  </body>
</html>
<?php } ?>


(코드 하이라이터에서 input 태그 다음에 br 태그를 입력했는데 태그가 보이지 않고 게시글에 그대로 작동하는군요 ㅜㅜ)



파이썬 파일은 너무 장황해서 requests 모듈을 이용한 업로드 부분 위주로 편집해서 올립니다 ㅠㅠ


import requests

# CSV 파일의 내용와 관련된 부분은 중략합니다

f = open("CSV 파일명", 'wt')
count = -len(리스트)
while (count < 0):
    f.write(str(리스트[count]) + ',' + str(리스트[count]) + '\n')
    count = count + 1
f.close()

url = 'http://URL/upload_form12345.php'
data = {'mb_pwd':'패스워드', 'submit':'submit'}
files = {'upload_file':('CSV 파일명', open('CSV 파일명', 'r'))}
r = requests.post(url, data=data, files=files)

print(r.content)



매우 허접하지만 일단 작동하는 데에 의의를 두겠습니다 ㅠㅠ


PHP 파일과 파이썬 파일에서 보안상 취약점을 비롯하여 제가 놓치고 있는 문제점은 없는지 여쭤봅니다.


답변 달아주실 분께 미리 감사드려요 ^-^


그럼 스포어 회원님들께서도 10월의 마지막 불금을 뜻깊게 보내세요~!


작성자
이니스프리 119 Lv. (0%) 1876250/115200000EXP

당분간 일신상의 사정으로 쪽지나 댓글로 답변을 드리기 어렵습니다. 죄송합니다.

 

CSVpuymXAAAVVpd.jpg

댓글 2

네모
profile image
+1

1. PHP 파일에서 HTML 태그를 출력해야 할 이유가 있을까요?

파이썬 코드에서도 requests 모듈을 통해 곧바로 post 요청을 하는 것 같은데, 굳이 HTML Form 이 또 필요하지는 않아 보이네요.

 

2. mb_pwd 를 비교할때 해시값을 사용하시는 게 좋을것 같네요.

사용 용도에 따라 다르겠지만, 평문값을 넣어두기보단 해시값을 넣어서 해당 값을 비교하는게 안전하지 않을까 싶습니다.

 

3. HTTPS?

HTTP / HTTPS 의 문제가 있을수도 있겠네요.

comment menu
2018.10.27. 00:25

신고

"네모님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 작성자 → 네모
profile image

네모 님~ 바쁘신데 댓글 정말 감사합니다!! 손목은 좀 어떠신지요?

역시 제가 미처 생각하지 못한 부분이 많네요 ㅠㅠ

바로 실사용을 할까도 생각했었는데 제가 사용 전에 여쭤보길 정말 잘 했네요~!

 

1. HTML form 부분을 모두 삭제하고 PHP 부분만 남겨두어도 돌아간다는 말씀이시죠?

저도 이 스크립트를 짜면서 HTML form이 굳이 필요한지 약간 의문이 들기는 하더군요 ^^;

제가 HTML과 PHP에 대한 이해가 부족하다고 생각하긴 했는데 역시 그랬네요 ㅠㅠ

말씀해주신대로 20번째 줄 이하의 HTML 태그는 모두 삭제할게요~

 

2. 해시값에 대해서는 제가 전혀 고려를 하지 못했어요 ㅠㅠ

실은 제가 로그인 폼을 만들어 본 것이 이번이 처음인 것 같네요.

이에 대해서는 제가 이번 주말에 좀 더 공부를 해보겠습니다!

 

3. 제가 아직 SSL을 적용하지 못했는데 앞으로 적용하려구요 ^^

일단 파이썬 파일 14번째 줄의 URL에서

http vs https 부분을 제외하고 "//URL/upload_form12345.php"형태로 변경할게요.

 

그럼 네모 님께서도 편안한 밤 되시고 10월의 마지막 주말 뜻깊게 보내세요~!

네모 님께 항상 여러모로 감사드립니다!! ^-^

comment menu
2018.10.27. 00:59

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 [작업 완료] 설 명절 맞이 서버 업데이트 안내 3 마스터 24.02.11.17:21 382
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 23.01.14.02:23 4065
공지 [필독] 질문하는 방법 17 마스터 18.02.23.03:09 4464
822 Set up the wiki 18 Whitetiger0423 20.12.07.10:37 437
821 홈페이지 디자인을 바꾼 후부터 게시판 스킨 적용이 이상하게 됩니다 image 손가락개 20.12.04.02:56 66
820 혹시 FTP 접속 잘 되시나요?? 2 원미 20.12.01.21:51 101
819 카페대문 만들기 힘드네요 .. 공구테라스 20.11.26.16:24 103
818 php 관련해서 질문 좀 여쭙겠습니다 image title: 대한민국 국기gimmepoint 20.11.23.20:50 109
817 [CSS] 애니메이션 관련 4 260578 20.11.21.23:24 116
816 요즘 코로나 백신 소식이 자주나오는데 내년에는 괜찮을까요? 3 필우 20.11.13.10:41 74
815 ftp web파일 1 wikiowner 20.11.11.22:16 57
814 중고 모니터 액정이 나갔는데 수리하는게 나을까요? 새로 사는게 나을까요? 10 필우 20.11.11.10:47 137
813 폴더 권한 관련 질문 드립니다. 5 image 이니스프리 20.11.08.14:47 94
812 맵네임을 누르면 다른 사이트의 게시판을 나오게 하고싶은데 어떻게 해야하나요? 1 손가락개 20.11.08.01:01 51
811 위키 설치 하실줄 아시는분,,,, 2 wikiowner 20.11.06.20:30 133
810 FTP 연결 안됌.... 2 image wikiowner 20.11.06.19:18 78
809 도메인 싸거나 공짜로 파는 곳 어디 있을까요 6 출사로 20.11.06.07:22 261
808 위키 호스팅에 대해 궁금점 9 wikiowner 20.11.04.15:05 131
807 사이트 정보 등록 3 citen 20.10.29.17:36 84
806 키보드 트레이 추천을 부탁드려요 ^^ 3 이니스프리 20.10.29.00:05 121
805 재질문) php 오류페이지 관련 질문입니다 2 Ruwaku 20.10.13.20:54 153
804 이거 서비스센터 가야 하는 부분인가요? 8 국내산라이츄 20.10.07.14:44 107
803 배터리 수명 단축을 가속화시키는 법이 있을까요? 11 image 제르엘 20.10.04.23:02 358