• 목록
  • 아래로
  • 위로

안녕하세요?


이틀 전 질문 드린 VPS에서 생성한 CSV 파일을 웹호스팅에서 읽는 방법에 대해 제 나름대로 코드를 작성했는데요.


보안상 취약점 등 제가 미처 생각하지 못한 문제는 없는지 마지막으로 질문 드립니다 ^^



말씀해주신 여러 방법들에 관하여 고민을 해봤는데요.


humit 님께서 조언해주신 "csv 파일을 생성하고 있는 서버에서 requests 모듈을 이용해서 파일 업로드를 하는 방식"으로 결정했습니다.



제 생각에는 이 방식은 다음과 같은 장점이 있을 것 같아요 :)


1. HTML의 input 태그와 PHP의 move_uploaded_file 함수를 막지 않는 이상 어떠한 웹호스팅 환경에서도 사용 가능한 방법이며


2. 파일 생성시간으로부터 동기화 될 때까지의 시간이 사실상 0에 가깝고


3. VPS에서 파이썬으로 CSV 파일을 생성하여 업로드하는 것만 crontab에 넣으면 되어서 나중에 데이터 수집 간격을 조정하기 용이합니다.


반면 업로드 용도의 PHP 파일을 제3자가 악용할 수 있는 보안상 취약점이 있다는 것이 가장 큰 단점일 것 같네요 ㅠㅠ



위와 같은 장점이 있다고 생각되어서 최종적으로 requests 모듈로 업로드 하는 방법을 택하게 되었네요.


제 나름대로 공부를 해서 부족한 부분이 많겠지만 서버(웹호스팅) 측의 PHP 파일과 클라이언트(VPS) 측의 python 파일을 작성해봤어요.


매우 허접하지만 일단 제가 의도한 대로 작동하기는 하네요 ^^;



우선 PHP 파일인데요.


보안상 취약점을 보완하기 위해서 제 나름대로 다음과 같은 조치를 취했습니다.


1. 클라이언트의 IP를 체크하여 특정 IP인 경우에만 전체 스크립트가 작동하도록 하고


2. 패스워드를 확인하며


3. 특정 파일명이 아니라면 업로드를 할 수 없도록 했습니다.

(나중에 하나의 CSV 파일을 계속 overwrite 하는 방식으로 실사용할 예정이에요)


<!-- IP, 비번, 파일명을 확인하여 지정된 폴더에 파일을 업로드하는 코드입니다 -->
<?php
if ($_SERVER['REMOTE_ADDR'] == '클라이언트 IP') {
  if(isset($_POST['submit'])) {
     if(is_uploaded_file($_FILES["upload_file"]["tmp_name"])) {
       if ($_FILES["upload_file"]["name"] != 'CSV 파일명' || $_POST["mb_pwd"] != '패스워드')
         exit("Error : You can't access.");
       $upload_dir = "./업로드할 폴더/";
       echo "Uploaded file : " . $_FILES["upload_file"]["name"];
       $file_name = $upload_dir . $_FILES["upload_file"]["name"];
       if(move_uploaded_file($_FILES["upload_file"]["tmp_name"], $file_name))
         echo " - Success";
       else
         exit(" - Upload failed.");
     } else {
         echo "No file was selected.";
     }
  }
?>
<!-- 이하 패스워드를 입력하고 파일을 선택하는 HTML form 부분입니다 -->
<!DOCTYPE html>
<html>
  <body>
    <form enctype="multipart/form-data" method="post" accept-charset='UTF-8'>
      <fieldset>
        <input type="password" name="mb_pwd" /><br />
        <input type="file" name="upload_file" /><br />
        <input type="submit" value="OK" name="submit"/>
      </fieldset>
    </form>
  </body>
</html>
<?php } ?>


(코드 하이라이터에서 input 태그 다음에 br 태그를 입력했는데 태그가 보이지 않고 게시글에 그대로 작동하는군요 ㅜㅜ)



파이썬 파일은 너무 장황해서 requests 모듈을 이용한 업로드 부분 위주로 편집해서 올립니다 ㅠㅠ


import requests

# CSV 파일의 내용와 관련된 부분은 중략합니다

f = open("CSV 파일명", 'wt')
count = -len(리스트)
while (count < 0):
    f.write(str(리스트[count]) + ',' + str(리스트[count]) + '\n')
    count = count + 1
f.close()

url = 'http://URL/upload_form12345.php'
data = {'mb_pwd':'패스워드', 'submit':'submit'}
files = {'upload_file':('CSV 파일명', open('CSV 파일명', 'r'))}
r = requests.post(url, data=data, files=files)

print(r.content)



매우 허접하지만 일단 작동하는 데에 의의를 두겠습니다 ㅠㅠ


PHP 파일과 파이썬 파일에서 보안상 취약점을 비롯하여 제가 놓치고 있는 문제점은 없는지 여쭤봅니다.


답변 달아주실 분께 미리 감사드려요 ^-^


그럼 스포어 회원님들께서도 10월의 마지막 불금을 뜻깊게 보내세요~!


작성자
이니스프리 119 Lv. (2%) 4186530/115200000EXP

Make StudyForUs Great Again!

 

CSVpuymXAAAVVpd.jpg

댓글 2

네모
profile image
+1

1. PHP 파일에서 HTML 태그를 출력해야 할 이유가 있을까요?

파이썬 코드에서도 requests 모듈을 통해 곧바로 post 요청을 하는 것 같은데, 굳이 HTML Form 이 또 필요하지는 않아 보이네요.

 

2. mb_pwd 를 비교할때 해시값을 사용하시는 게 좋을것 같네요.

사용 용도에 따라 다르겠지만, 평문값을 넣어두기보단 해시값을 넣어서 해당 값을 비교하는게 안전하지 않을까 싶습니다.

 

3. HTTPS?

HTTP / HTTPS 의 문제가 있을수도 있겠네요.

comment menu
2018.10.27. 00:25

신고

"네모님의 댓글"

이 댓글을 신고 하시겠습니까?

이니스프리 작성자 → 네모
profile image

네모 님~ 바쁘신데 댓글 정말 감사합니다!! 손목은 좀 어떠신지요?

역시 제가 미처 생각하지 못한 부분이 많네요 ㅠㅠ

바로 실사용을 할까도 생각했었는데 제가 사용 전에 여쭤보길 정말 잘 했네요~!

 

1. HTML form 부분을 모두 삭제하고 PHP 부분만 남겨두어도 돌아간다는 말씀이시죠?

저도 이 스크립트를 짜면서 HTML form이 굳이 필요한지 약간 의문이 들기는 하더군요 ^^;

제가 HTML과 PHP에 대한 이해가 부족하다고 생각하긴 했는데 역시 그랬네요 ㅠㅠ

말씀해주신대로 20번째 줄 이하의 HTML 태그는 모두 삭제할게요~

 

2. 해시값에 대해서는 제가 전혀 고려를 하지 못했어요 ㅠㅠ

실은 제가 로그인 폼을 만들어 본 것이 이번이 처음인 것 같네요.

이에 대해서는 제가 이번 주말에 좀 더 공부를 해보겠습니다!

 

3. 제가 아직 SSL을 적용하지 못했는데 앞으로 적용하려구요 ^^

일단 파이썬 파일 14번째 줄의 URL에서

http vs https 부분을 제외하고 "//URL/upload_form12345.php"형태로 변경할게요.

 

그럼 네모 님께서도 편안한 밤 되시고 10월의 마지막 주말 뜻깊게 보내세요~!

네모 님께 항상 여러모로 감사드립니다!! ^-^

comment menu
2018.10.27. 00:59

신고

"이니스프리님의 댓글"

이 댓글을 신고 하시겠습니까?

권한이 없습니다.
번호 제목 글쓴이 날짜 조회 수
공지 시스템 점검 작업 완료 안내 10 마스터 24.09.05.16:25 2582
공지 [중요] 호스팅 만료와 관련하여 일부 수칙이 변경됩니다. 4 마스터 23.01.14.02:23 10027
공지 [필독] 질문하는 방법 17 마스터 18.02.23.03:09 4944
486 studyforus 사이트 ipv4 변경으로 인한 오류 4 image nx_OP 18.10.21.16:27 299
485 api관련 xml에 대한 질문 좀 드릴께요. (전 아주아주 초보 입니다.) 11 홀민 18.10.21.18:17 261
484 아주아주 초보인데 페이지 접속 관련하여 질문 하나만 드립니다. 2 swimmie 18.10.21.22:21 231
483 사이트 방문자수와 검색 노출 등에 관하여 질문 드립니다 14 이니스프리 18.10.22.22:23 322
482 웹 사이트를 만들어보고 있습니다 4 260578 18.10.23.20:13 247
481 다른 서버에 있는 CSV 파일을 불러오는 방법에 대해 여쭤봅니다 ^^ 9 image 이니스프리 18.10.24.18:02 606
480 미디어위키 update.php 실행법 3 관종 18.10.25.21:06 272
질문 드린 CSV 파일 업로드에 대한 코드를 작성했어요 ^^ 실사용 전에 보안상 취약점 등 문제는 없는지 여쭤봅니다 2 이니스프리 18.10.26.20:57 729
478 개인정보 보호 오류 무엇...ㅠㅠ 10 image 국내산라이츄 18.10.27.00:12 496
477 나무위키같은 각주를 구현하는 방법을 찾습니다. 1 image 260578 18.10.27.19:03 370
476 문제가 무엇인가요? 1 260578 18.10.28.00:11 633
475 https 에서 http 불러올수있는 방법이 뭐가있을까요? 8 슬기 18.10.28.01:20 445
474 네이버 웹마스터도구에 대해서 질문이 있습니다. 8 image MYIG 18.10.28.17:33 457
473 구매한 아이콘 없애는법 아시는분? 2 슬기 18.10.29.10:33 270
472 국제전자센터에서 스마트폰 구입 괜찮을까요? 2 이니스프리 18.11.05.20:42 1829
471 계산기를 만드는데 문제가! 6 studyHTML 18.11.06.23:06 552
470 우분투의 crontab을 관리하는 노하우나 툴이 있을까요? 14 이니스프리 18.11.07.00:27 317
469 컴퓨터가 안꺼져요 11 국내산라이츄 18.11.08.04:15 930
468 안녕하세요!!!.. 왕초보 웹사이트 제작 관련 질문 드립니다. 8 image 그냥왕초보일.. 18.11.09.10:16 269
467 미디어위키 flow확장기능 오류가 발생했습니다. 1 AA 18.11.10.18:40 204