thinkphp框架的一些安全策略

已于 2023-04-19 16:32:27 修改
阅读量3k 收藏 1
点赞数
文章标签: 服务器 php 运维
于 2021-12-16 15:01:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laker_bbs/article/details/121974269
版权

php语言的流行框架thinkphp想必搞php的都听说过,今天我们谈一下针对服务器部署框架的安全策略。

tp框架被爆出问题最多的就是webshell,无论是那种版本都可能会被攻破找到这种漏洞,webshell的危害毋庸置疑,那我们该如何避免呢?

1.        tp框架一个最大的问题,大多数人经常忘了关掉app_debug这个配置,导致任何的错误都会附加很多服务器信息到页面上,这是相当危险的,所以最重要的一条,生产环境务必关闭debug模式

2.        即使关闭debug模式,tp的版本号还是可以显示在页面上,为了不让黑客有针对的攻击,我们需要把版本号的显示也去掉

3.        webshell一般是框架有某些漏洞,导致请求中伪造的linux命令被恶意执行,针对这种攻击方式的特点,我们总结了以下几条措施

  • 禁用掉php的一些危险函数,系统命令执行相关函数,eval脚本执行函数,phpinfo函数等一些我们用不到的函数
  • 搜索对应版本官方发出的漏洞补丁,要打进去,
  • 开启强制路由,一些攻击都不是我们正常的业务路由路径,所以强制路由可以很好的避免利用框架漏洞攻击
  • 控制好整个web项目目录的权限,尤其是一些需要写目录的权限,我们按照目录的最小权限原则对整个目录做安全调整,即对于每个目录我们都要思考该不该有读权限或者写权限
  • log目录应该抽离项目本身,一则对项目的svn管理有利,二则由于此目录必须有写权限,所以木马也容易被写入,放到一个非常规目录相对安全
  • 为了防止入口文件index.php 被篡改,我们可以把这个文件设置为只读

4.        经常通过svn st比较服务器文件是否有可疑文件不在svn管理

5.        养成查看nginx log的习惯,里头有一些攻击脚本,看下是否返回404

laker_bbs
关注
WordPress安全方案
m0_63641320的博客
03-24 300
通过ACL策略解决wp安全问题,无需升级程序。
开发知识点-Thinkphp框架
aming小老弟
10-11 491
作为一个整体开发解决方案,ThinkPHP能够解决应用开发中的大多数需要,因为其自身包含了底层架构、兼容处理、基类库、数据库访问层、模板引擎、缓存机制、插件机制、角色认证、表单处理等常用的组件,并且对于跨版本、跨平台和跨数据库移植都比较方便。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。
ThinkPHP3.1 安全快速入门
weixin_34228387的博客
11-24 158
ThinkPHP3.1 安全快速入门 在开发过程中,除了确保业务逻辑没有安全隐患外,应该充分了解和利用框架内建的安全机制或者工具来确保应用以及服务器安全性,下面我们总结下ThinkPHP中涉及到的安全机制。 系统安全 系统安全ThinkPHP可以配合的服务器安全部署策略。 应用部署建议 首先,我们建议在条件允许的情况下,把框架目录和项目目录都部署在非WEB访问目录下面,Think...
ThinkPHP框架总结之安全及使用
云水之路的专栏
02-19 3306
本片文章主要总结和介绍了使用TP过程中,加强项目安全的一些办法,具体是以例子为导向验证演示。
PHP框架安全思路(以ThinkPHP为例)总结
weixin_44616206的博客
01-27 1955
PHP框架安全(以ThinkPHP为例)总结 例:TP(ThinkPHP框架、YII、laravel TP框架(5.x版本市面上较多,hc使用较多) http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作/[参数名/ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pryQr8J1-1643215853300)(C:\Users\ASUS\AppData\Local\Temp\1643130675563.png)] 应用目录下模块名
thinkphp》二、API数据安全
theScoreONE的博客
01-22 1132
1、每次http请求都携带sign 2、sign唯一性保证 a、解密sign出来时间戳和当前时间戳在10s内 b、上次请求的sign存到cache中缓存时间设置20s,这次请求如果该sign还在cache中说明无效 (b的时间要大于a的时间) 3、请求参数、返回数据按安全性适当加密 4、access_token ...
基于ThinkPHP框架的网络安全攻防实训平台的设计与实现.pptx
10-14
基于ThinkPHP框架的网络安全攻防实训平台的设计与实现 本资源主要介绍了基于ThinkPHP框架的网络安全攻防实训平台的设计与实现过程,旨在为学生、安全爱好者和从业者提供一个实践环境,以培养和提升他们的网络安全...
深入解析ThinkPHP框架安全实践与I函数防护
ThinkPHP框架安全实现分析深入探讨了国内流行PHP框架——ThinkPHP安全特性。作为一款备受开发者青睐的框架,尽管它可能在某些方面与国际知名框架有所差距,但其中文文档的全面性使得学习曲线相对平缓。本文将重点...
2023全新付费进群系统源码 九块九进群源码 付费入群进群源码 Thinkphp框架全开源独立版
09-18
1. **Thinkphp框架**:理解其MVC架构,掌握控制器、模型和视图的编写,以及如何利用其内置的路由、中间件和模板引擎等功能。 2. **付费机制**:涉及到支付接口的集成,如支付宝、微信支付等,需要熟悉相应的API文档...
基于thinkPHP框架的人力资源管理系统
12-26
《基于ThinkPHP框架的人力资源管理系统详解》 在IT行业中,PHP作为一种广泛使用的服务器端脚本语言,尤其在Web开发领域扮演着重要角色。而ThinkPHP则是国内最受欢迎的PHP开发框架之一,它以其简洁的语法、强大的...
Thinkphp3.2.3安全开发须知
12-11
Thinkphp3.2.3安全开发须知
Nginx下ThinkPHP5的配置方法详解
12-18
本文主要给大家介绍了关于Nginx下ThinkPHP5的配置方法,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍: url里public目录的隐藏 出于安全的考虑,TP5的入口文件改成放在public下了,因为这样的话能防止被恶意用户访问到“/thinkphp/”、“/vendor/”等等这些目录下的文件。所以当你以之前的习惯将网站documentroot配置为项目根目录的时候就会需要在url后面加上/public/来访问。当然可能也会有童鞋把入口文件放回到根目录下,然后还是以之前3.x版那样的形式访问了。 但是很显然,这么做并不是那么的科学。 假设项目目录为“/web/wwwro
ThinkPHP6安全性:深入剖析与应对策略
A150922923282的博客
06-27 605
简单来说,ThinkPHP6的安全性是指该框架在设计和实现过程中,如何有效地防范和抵御各种潜在的安全威胁,确保Web应用程序的稳定运行和用户数据的安全。只有这样,我们才能确保使用ThinkPHP6开发的Web应用程序具有足够的安全性,为用户提供更加安全、可靠的服务。无论是代码编写过程中的安全规范,还是系统配置中的安全设置,亦或是数据存储和传输中的安全措施,都是保障ThinkPHP6安全性的重要环节。ThinkPHP6的安全性并非单一的概念,它涵盖了代码的安全性、配置的安全性、数据的安全性等多个方面。
THINKPHP 安全
张默的博客
07-08 1589
输入过滤 永远不要相信客户端提交的数据,所以对于输入数据的过滤势在必行,我们建议: 开启令牌验证避免数据的重复提交; 使用自动验证和自动完成机制进行初步过滤; 使用系统提供的I函数获取用户输入数据; 对不同的应用需求设置不同的安全过滤函数,常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等   使用I函数过...
小程序 thinkphp6.0 JWT安全验证
lzc147258的博客
08-11 502
1.composer安装 composer require firebase/php-jwt //生成token public static function signToken($openid) { //这里的key可以在config 里面配置 $key = '****'; $token = array( "iss"=>$key, "aud"=>'', "iat"=>
ThinkPHP框架安全性能分析
weixin_30846599的博客
03-07 189
http://www.freebuf.com/articles/web/59713.html 点击劫持cookie 点击劫持所有链接 转载于:https://www.cnblogs.com/kuoaidebb/p/4297197.html
ThinkPHP网站系统安全方案探讨
最新发布
2401_85969422的博客
07-06 404
在使用ThinkPHP处理文件上传时,应注意以下几点:在这样的情况下,限制上传文件的类型和大小,避免接受不必要的文件类型;对于用户提交的所有数据,包括表单数据、URL参数、Cookie等,都应进行严格的验证和过滤。其实呢,对于可能包含恶意代码的输入,如用户提交的HTML内容,应使用HTML转义函数进行处理,防止跨站脚本攻击(XSS)。通过严格的输入验证与过滤、防止SQL注入、加强文件上传安全、管理会话与防护CSRF、合理配置错误处理与日志记录以及使用专业防护软件等方法,可以显著提升网站系统的安全性。
thinkphp 目录安全设置
weixin_33888907的博客
03-21 251
目录安全设置就是在各个目录自动生成html空白文件放置非法访问,thinkphp目录安全配置:define('BUILD_DIR_SECURE',true); define('DIR_SECURE_FILENAME', 'index.html'); define('DIR_SECURE_CONTENT', 'deney Access!');模板目录配置.htaccess文件,...
网络安全无小事, 所有艾思运维人员, 在nginx中必须对thinkphp的目录做以下安全设置, 未尽目录请自行添加
赵吉平的专栏
08-29 1425
在nginx中必须对thinkphp的目录做以下安全设置。网络安全无小事, 所有艾思运维人员。#禁止访问的文件或目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

laker_bbs

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值