本文详细介绍了ThinkPHP框架在系统安全方面的实践,包括应用部署建议、系统安全设置、表单安全验证、变量安全处理、数据安全防护、上传安全以及提供其他安全建议。重点讲述了如何防止SQL注入、XSS攻击,以及如何启用令牌验证确保表单安全性。
在开发过程中,除了确保业务逻辑没有安全隐患外,应该充分了解和利用框架内建的安全机制或者工具来确保应用以及服务器的安全性,下面我们总结下ThinkPHP中涉及到的安全机制。
如果你无法完全做到上述的服务器目录安全保护,也无需担心,ThinkPHP仍然可以通过设置确保你的目录安全。框架的核心文件本身已经做了访问判断,所有核心文件均不能直接在URL中被访问,因此也不用担心直接访问某些文件导致的错误暴露你的服务器路径之类的信息。
对于应用目录,系统则提供了目录安全访问机制,你可以在第一次生成项目目录结构之前,在入口文件中添加:
运行项目后会自动给项目的相关目录生成目录安全文件(在相关的目录下面生成空白的htm文件),并且可以自定义安全文件的文件名 DIR_SECURE_FILENAME ,默认是index.html,如果你想给你们的安全文件定义为default.html可以使用
还可以支持多个安全文件写入,例如你想同时写入index.html和index.htm 两个文件,以满足不同的服务器部署环境,可以这样定义:
默认的安全文件只是写入一个空白字符串,如果需要写入其他内容,可以通过DIR_SECURE_CONTENT参数来指定,例如:
下面是一个完整的使用目录安全写入的例子
系统安全
系统安全指ThinkPHP可以配合的服务器的安全部署策略。应用部署建议
首先,我们建议在条件允许的情况下,把框架目录和项目目录都部署在非WEB访问目录下面,ThinkPHP的访问机制完全支持框架和项目的非WEB目录访问,你只需要把入口文件和资源(主要是指JS、样式和图片文件)目录放置于WEB目录下面即可。因此,建议的部署目录如下:- index.php 项目入口文件
- Public/ 项目资源文件目录
- Js/ JS目录
- Css/ 样式文件目录
- Images/ 图像文件目录
- protected/ (受保护的目录,可以部署到非WEB目录或者设置安全访问)
- ThinkPHP/ 框架系统目录
- App/ 项目目录
- Uploads/ 项目上传目录
复制代码
系统安全设置
如果你已经通过部署策略设置了系统目录安全访问的话,则可以跳过这段。如果你无法完全做到上述的服务器目录安全保护,也无需担心,ThinkPHP仍然可以通过设置确保你的目录安全。框架的核心文件本身已经做了访问判断,所有核心文件均不能直接在URL中被访问,因此也不用担心直接访问某些文件导致的错误暴露你的服务器路径之类的信息。
对于应用目录,系统则提供了目录安全访问机制,你可以在第一次生成项目目录结构之前,在入口文件中添加:
- define('BUILD_DIR_SECURE', true);
复制代码
- define('DIR_SECURE_FILENAME', 'default.html');
复制代码
- define('DIR_SECURE_FILENAME', 'index.html,index.htm');
复制代码
- define('DIR_SECURE_CONTENT', 'deney Access!');
复制代码
最低0.47元/天 解锁文章
1508
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
