PHP框架安全思路(以ThinkPHP为例)总结

已于 2022-01-28 21:49:58 修改
阅读量1.9k 收藏 2
点赞数
文章标签: php 安全 开发语言 web安全 web
于 2022-01-27 00:51:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44616206/article/details/122711104
版权

PHP框架安全(以ThinkPHP为例)总结

例:TP(ThinkPHP)框架、YII、laravel

TP框架(5.x版本市面上较多,hc使用较多)

http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作/[参数名/

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pryQr8J1-1643215853300)(C:\Users\ASUS\AppData\Local\Temp\1643130675563.png)]

应用目录下模块名首写字母一定要大写

带参数

  • 1.http://serverName/index.php(或者其它应用入口文件)/模块/控制器/操作?参数=值

在这里插入图片描述

对应后端写法:$_GET/POST[‘x’]或input(‘x’)或input(’?get.x’)(如3)

  • 2.例如:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4tLNb8Kz-1643215853301)(C:\Users\ASUS\AppData\Local\Temp\1643204109214.png)]
    (也可对应input(‘x’)和3)。

  • 1,2会导致SQL注入

  • 3.例如:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Swpl8Glb-1643215853301)(C:\Users\ASUS\AppData\Local\Temp\1643207432805.png)]
    对SQL注入有内置过滤

TP的调试模式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1zKYeV4D-1643215853302)(C:\Users\ASUS\AppData\Local\Temp\1643209024074.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dr7OGRoB-1643215853302)(C:\Users\ASUS\AppData\Local\Temp\1643209537655.png)]

完成以上配置后

调试模式效果如下:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aMOoIfgP-1643215853302)(C:\Users\ASUS\AppData\Local\Temp\1643209086893.png)]

TP数据库语法

例如:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l9fz2vFJ-1643215853303)(C:\Users\ASUS\AppData\Local\Temp\1643210266138.png)]
例中为TP框架官方调用数据库语句“select * from sy_message where id=$id”,对SQL注入有过滤

TP框架漏洞思路

  • 写法
  • 历史版本漏洞(白盒:看tp包中thinkphp/base.php中 定义的THINK_VERSION值为框架版本,找对应漏洞 (seebug、kunyu、github等、搜索exp、构造exp等)黑盒看版本(报错、数据包、url等)
  • 自己找0day!

代码审计框架漏洞(搜索相关漏洞和相关漏洞点,并且判断是否修复)

long_red
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基于ThinkPHP和Layui的miniThink后台快速开发框架设计源码
05-27
该项目是基于OneThink的思路启发,依赖php框架中的thinkPHP5.0版本,并使用了前端框架layui以及jqadmin封装的前端模块。它旨在为开发者提供一个高效、便捷的后台快速开发解决方案,支持模块化管理、数据管理、权限...
学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持
徊忆羽菲
01-03 758
学习thinkphp中api接口数据安全解决方案之授权sign唯一性支持背景结合redis缓存Api签名校验类ApiAuthapp配置postman请求 背景 为了保证客户端的每一次请求sign的唯一性,且只能使用一次,所以我们就需要在代码中去判断每次提交的sign是否唯一 结合redis缓存 引用redis缓存 use think\cache\driver\Redis; api模块的控制器公共类 Common.php <?php namespace app\api\controller;
thinkphp5jwt请求颁发token详解接口安全
weixin_44452446的博客
05-13 777
JWT应用场景 点击登入颁发token,下次请求带着token请求,对接口安全有保障,不会任何人都可以请求接口 JWT的优点 JWT的优点:用户会话信息保存在客户端,服务端再也不用操心用户的会话信息,即服务端无状态 JWT的缺点:只能被动等到token过期,不能主动失效token 导入文件到vendor目录下面,可以看我上传的jwt文件 下面是代码 //生成验签 function signToken($ip){ $key="dt".$ip; //这里是自定义的一个随机字串,应该写在con
thinkphp中api接口数据安全解决方案之sign检验
荒的博客
04-16 696
sign签名一般用在服务器之间传输。一般api数据安全使用token验证就行。
thinkphp框架的一些安全策略
尚贝贝(软件测试)
12-16 2975
thinkphp 框架安全策略
thinkPHP5-安全机制
Wake_me_Up123的博客
07-31 5057
输入安全 设置public目录为唯一对外访问目录,不能把资源文件放入到应用目录; 使用框架提供的请求变量获取方法(Request类的param方法及input助手函数)而不是原生系统变量获取用户输入的数据; 使用验证类或者验证方法对业务数据设置必要的验证规则; 设置安全过滤函数对用户输入的数据进行过滤处理。 htmlspecialchars()此函数是将用户输入的所有信息原样输出。 避免用户输入的
PHP仿tp实现mvc框架基本设计思路与实现方法分析
10-18
主要介绍了PHP仿tp实现mvc框架基本设计思路与实现方法,简单讲述了php实现tp框架的原理,并结合实形式分析了相关控制器、视图及URL访问操作技巧与注意事项,需要的朋友可以参考下
PHPthinkphp5框架实现评论回复
06-14
总结来说,实现PHPThinkPHP5框架下的评论回复功能,主要涉及数据库设计、模型、控制器、视图、路由以及权限管理等多个环节。通过对这些部分的合理设计和实现,可以构建出一个功能完善的评论回复系统,提供良好的...
php 大文件分块上传源码,thinkphp,larvavel
12-21
标题提到的"php 大文件分块上传源码,thinkphp,laravel"涉及到的技术点是通过分块(Chunked)上传策略来解决这个问题,适用于ThinkPHP和Laravel这两个流行的PHP框架。 首先,我们来看大文件分块上传的概念。当文件...
php验证码的制作思路和实现方法
12-19
一、制作思路 由于注册的时候常常会用到注册码来防止机器恶意注册,这里我发表一个产生png图片验证码的基本图像,简单的思路分析: 1、产生一张png的图片 2、为图片设置背景色 3、设置字体颜色和样式 4、产生4位数...
Thinkphp3.2.3安全开发须知
12-11
Thinkphp3.2.3安全开发须知
ThinkPHP5开发中API数据安全相关解决方案
坚持硬核
07-07 1350
0x00 四种API数据安全问题 接口请求地址 和 参数暴露 重要接口返回数据明文暴露 APP登录态请求的数据安全性问题 代码层的数据安全问题 其中前三种问题,都可以使用加密来解决。 0x01 加密方式 MD5 AES 对称加密算法,加密速度快,资源使用率高 RSA 非对称加密算法,加密效率低,数据量大的时候加密时间比较长 0x02 如何进行加密? 将基础参数(app版本号,手机型号,sign等)放入http协议的header头中 每次http请求都携带sign 保证sign的唯一性
学习thinkphp中api接口数据安全解决方案之sign有效时间处理
徊忆羽菲
01-03 717
学习thinkphp中api接口数据安全解决方案之sign有效时间处理生成13位时间戳生成sign签名设置sign签名有效期校验sign时间有效期引用签名验证类 生成13位时间戳 在Y:\thinkphpwu\application\common\lib 目录中创建 Time.php 类 <?php namespace app\common\lib; class Time { //获取到13位数的时间戳 13位时间戳是把时间精确到毫秒级,所以两者是1000倍的关系 public
ThinkPHP框架总结安全及使用
云水之路的专栏
02-19 3261
本片文章主要总结和介绍了使用TP过程中,加强项目安全的一些办法,具体是以子为导向验证演示。
php安全框架,phpGrace 框架部署安全
weixin_33173126的博客
03-13 310
phpGrace 框架部署到非项目目录将 phpGrace 框架部署到非项目目录可以使得系统更安全,也可以实现多个项目公用一套框架的目的。步骤如下:1、将phpGrace文件夹放到非项目目录,如:D:\phpGrace2、改写入口文件,类似以下代码:include'D:\phpGrace\phpGrace.php';改变app目录名称将 app 核心目录名改写也可以防止攻击者的目录猜测,...
php 高效 系统,怎样架构一个高效且稳定、安全PHP网站系统(讨论)
weixin_29168675的博客
03-11 155
怎样架构一个高效且稳定、安全PHP网站系统(讨论)1.采用什么样的框架;2.采用什么方式编写代码(面向过程、面向对象);3.操作数据库时,需要注意哪几点;4.用什么样的模版;5.界面有什么要求;6.采用什么方式测试.高效这个比较难界定 如何才算是高效规划的时候很多东西受这个因素制约oo是趋势 也利于维护用框架的话已经解决oo的问题 因为主流的框架都是mvc的在使用框架的前提下服务器资源开销的增加...
db和model用哪个开发大型项目 thinkphp_干货 | 10个最好用的PHP框架,请收好~
weixin_39900023的博客
12-06 416
各个框架的学习教程看下图PHP,或超文本预处理程序,是一种开源的服务器端脚本语言。它也非常受欢迎——截至2020年5月,几乎60%的网站都在使用PHP。但是您如何知道哪个PHP框架适合您呢?为什么要使用PHP框架?本文将列出10个比较流行的PHP框架来帮助您进行选择。PHP框架提供了简化web应用程序开发的基本结构。我们使用它们是因为它们加快了开发过程。最重要的是,使用PHP框架构建的网站和应用程...
WordPress安全方案
m0_63641320的博客
03-24 267
通过ACL策略解决wp安全问题,无需升级程序。
thinkphp写微信小程序后端思路
最新发布
09-19
thinkphp是一款开源的PHP框架,适用于快速开发Web应用程序。如果要使用thinkphp来开发微信小程序的后端,可以按照以下思路进行: 1. 配置环境:首先,确保服务器上已经安装了PHP环境,并下载、安装好thinkphp框架,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

long_red

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值