? ? ? ?1、規(guī)范部署
? ? ? ?這一點(diǎn)很多開發(fā)者不是特別重視,安全是一個(gè)整體性的問題,任何一個(gè)環(huán)節(jié)出問題,帶來的后果都是一樣的嚴(yán)重,部署的安全策略是一個(gè)基礎(chǔ)安全問題。
? ? ? ?很多開發(fā)者往往不按照官方的部署規(guī)范進(jìn)行部署,請(qǐng)務(wù)必把你的WEB根目錄指向public目錄而不是應(yīng)用根目錄,并且不要隨意更改入口文件的位置。public目錄下面不要放除了入口文件和資源文件以外的其它應(yīng)用文件。
? ? ? ?2、關(guān)閉調(diào)試模式
? ? ? ?在部署到生產(chǎn)環(huán)境的時(shí)候,確保你已經(jīng)關(guān)閉了調(diào)試模式,可以通過修改環(huán)境變量的方式關(guān)閉調(diào)試模式。
? ? ? ?APP_DEBUG=false?
? ? ? ?無論是本地開發(fā)還是生產(chǎn)環(huán)境部署,都不建議直接通過修改配置文件的方式開啟/關(guān)閉調(diào)試模式,而應(yīng)該使用環(huán)境變量(本地開發(fā)可以通過定義.env文件)。
? ? ? ?關(guān)閉調(diào)試模式后,系統(tǒng)的健康狀態(tài)和運(yùn)行監(jiān)控主要依靠日志或者你使用的監(jiān)控服務(wù)。所以,要養(yǎng)成定時(shí)檢查日志和運(yùn)行狀態(tài)的習(xí)慣。
? ? ? ?3、請(qǐng)求變量過濾
? ? ? ?永遠(yuǎn)不要相信用戶的輸入,這是一句至理名言。盡可能的過濾請(qǐng)求變量能有效防范大部分的漏洞和隱患。
? ? ? ?框架建議的獲取請(qǐng)求變量的方法是Request類的param方法(如非必要不要再使用get或者post方法獲取,更不要使用原生的$_GET/$_POST等方法獲?。?。
? ? ? ?public function index(Request $request) { $name = $request->param('name'); // 在這里可以根據(jù)你的業(yè)務(wù)需求進(jìn)行更嚴(yán)謹(jǐn)?shù)倪^濾 // 例如 $name = $request->param('name','','htmlentities,strtolower'); // 或者使用驗(yàn)證器進(jìn)行專門的驗(yàn)證 }?
? ? ? ?對(duì)于有明確類型的請(qǐng)求變量,可以在使用param方法的時(shí)候使用類型強(qiáng)制轉(zhuǎn)換,例如:
? ? ? ?public function index(Request $request) { // 強(qiáng)制轉(zhuǎn)換字符串?dāng)?shù)據(jù) $name = $request->param('name/s'); // 強(qiáng)制轉(zhuǎn)換整型數(shù)據(jù) $name = $request->param('id/d'); // 強(qiáng)制轉(zhuǎn)換浮點(diǎn)型數(shù)據(jù) $name = $request->param('score/f'); }?
? ? ? ?或者直接使用方法參數(shù)獲取請(qǐng)求變量
? ? ? ?public function index(string $name) { // 在這里可以根據(jù)你的業(yè)務(wù)需求進(jìn)行更嚴(yán)謹(jǐn)?shù)倪^濾 // 或者使用驗(yàn)證器進(jìn)行專門的驗(yàn)證 }?
? ? ? ?如果你需要對(duì)所有數(shù)據(jù)進(jìn)行處理,可以設(shè)置全局的過濾方法。對(duì)不同的應(yīng)用需求設(shè)置default_filter過濾規(guī)則(默認(rèn)沒有任何過濾規(guī)則),常見的安全過濾函數(shù)包括stripslashes、?htmlentities、htmlspecialchars和strip_tags等,請(qǐng)根據(jù)業(yè)務(wù)場(chǎng)景選擇蕞合適的過濾方法。
? ? ? ?如果需要獲取多個(gè)數(shù)據(jù),建議使用only方法指定需要獲取的變量名稱,避免有些不懷好意的數(shù)據(jù)提交導(dǎo)致權(quán)限問題。
? ? ? ?public function index(Request $request) { // 指定表單數(shù)據(jù)名稱 $data = $request->only(['name','title']); }?
? ? ? ?當(dāng)你使用數(shù)據(jù)庫或者模型操作寫入數(shù)據(jù)的時(shí)候,也可以指定字段,避免非法和不希望的字段寫入數(shù)據(jù)庫。
? ? ? ?// 模型 User::allowField(['name','title']) ->save($data); // 數(shù)據(jù)庫 Db::name('user') ->field(['name','title']) ->insert($data);?
? ? ? ?模型還有一個(gè)只讀字段的功能能避免你的數(shù)據(jù)受到外部的修改。
? ? ? ?4、上傳檢測(cè)
? ? ? ?網(wǎng)站的上傳功能也是一個(gè)非常容易被攻擊的入口,所以對(duì)上傳功能的安全檢查是尤其必要的。
? ? ? ?系統(tǒng)的thinkFile類提供了文件上傳的安全支持,包括對(duì)文件后綴、文件類型、文件大小以及上傳圖片文件的合法性檢查,確保你已經(jīng)在上傳操作中啟用了這些合法性檢查,可以參考手冊(cè)的上傳章節(jié)。
? ? ? ?5、SQL注入
? ? ? ?ThinkPHP的查詢統(tǒng)一使用了PDO的prepare預(yù)查詢和參數(shù)綁定機(jī)制,能有效的避免SQL注入的發(fā)生。但不代表一定安全,如果你缺乏良好的代碼規(guī)范,仍然有可能被利用。
? ? ? ?一個(gè)蕞簡(jiǎn)單的原則是不要讓用戶決定你的查詢條件(或者字段排序)和控制你的查詢數(shù)據(jù)。
? ? ? ?對(duì)于一些字符串的查詢條件(包括原生查詢)或者特殊的查詢(包括ORDER部分),需要手動(dòng)進(jìn)行參數(shù)綁定。
? ? ? ?// 錯(cuò)誤的 Db::query("select * from think_user where id=$id AND status=$statis"); // 正確的 Db::query("select * from think_user where id=? AND status=?", [ $id, $status]); // 正確的 Db::execute("update think_user set name=:name where status=:status", [ 'name' => 'thinkphp', 'status' => 1 ]);?
? ? ? ?對(duì)于使用了whereExp和whereRaw方式的查詢,你也需要使用參數(shù)綁定。
? ? ? ?Db::name('user') ->whereRaw('id > ? AND status = ?',[10, 1]) ->select();?
? ? ? ?6、使用驗(yàn)證器
? ? ? ?對(duì)于大量的表單需要驗(yàn)證的情況,建議使用驗(yàn)證器功能統(tǒng)一進(jìn)行數(shù)據(jù)的合規(guī)驗(yàn)證。驗(yàn)證器的驗(yàn)證操作應(yīng)該在控制器或者路由階段使用validate方法進(jìn)行處理,模型的數(shù)據(jù)驗(yàn)證功能新版已經(jīng)取消不再建議使用,模型和數(shù)據(jù)庫操作的時(shí)候應(yīng)該傳入經(jīng)過安全處理過的數(shù)據(jù)。
? ? ? ?7、XSS攻擊
? ? ? ?跨站腳本攻擊(cross-site scripting,簡(jiǎn)稱 XSS),XSS是一種在web應(yīng)用中的計(jì)算機(jī)安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
? ? ? ?在渲染輸出的頁面中,要對(duì)一些數(shù)據(jù)進(jìn)行安全處理,防止被惡意利用造成XSS攻擊,如果是5.1版本的話,所有的輸出都已經(jīng)經(jīng)過了htmlentities 轉(zhuǎn)義輸出,確保安全。如果是5.0版本的話,你可以自定義一個(gè)xss過濾函數(shù),在模板文件中對(duì)一些關(guān)鍵內(nèi)容變量進(jìn)行函數(shù)處理。
? ? ? ?CSRF_132" style="box-sizing:inherit;margin:-10px 0px 0px;padding:0px;color:#009A61;position:absolute;">CSRF
? ? ? ?CSRF 跨站請(qǐng)求偽造是 Web 應(yīng)用中非常常見的安全威脅之一,攻擊者偽造目標(biāo)用戶的HTTP請(qǐng)求,然后此請(qǐng)求發(fā)送到有CSRF漏洞的網(wǎng)站,網(wǎng)站執(zhí)行此請(qǐng)求后,引發(fā)跨站請(qǐng)求偽造攻擊。攻擊者利用隱蔽的HTTP連接,讓目標(biāo)用戶在不注意的情況下單擊這個(gè)鏈接,由于是用戶自己點(diǎn)擊的,而他又是合法用戶擁有合法權(quán)限,所以目標(biāo)用戶能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接,從而達(dá)到攻擊者的目的。
? ? ? ?開啟表單令牌驗(yàn)證,盡量開啟強(qiáng)制路由并嚴(yán)格規(guī)范每個(gè)URL請(qǐng)求,定義單獨(dú)的MISS路由規(guī)則。
? ? ? ?遵循請(qǐng)求類型的使用規(guī)范并做好權(quán)限驗(yàn)證,刪除操作必須使用DELETE請(qǐng)求,數(shù)據(jù)更改操作必須使用POST、PUT 或者 PATCH 請(qǐng)求方法,GET請(qǐng)求不應(yīng)該更改任何數(shù)據(jù)。
? ? ? ?8、會(huì)話劫持
? ? ? ?會(huì)話劫持是指攻擊者利用各種手段來獲取目標(biāo)用戶的session id。一旦獲取到session id,那么攻擊者可以利用目標(biāo)用戶的身份來登錄網(wǎng)站,獲取目標(biāo)用戶的操作權(quán)限。
? ? ? ?有效的防護(hù)策略包括:
? ? ? ?在每次會(huì)話啟動(dòng)的時(shí)候,調(diào)用regenerate方法。
? ? ? ?Session::start(); Session::regenerate(true);?
? ? ? ?更改session配置參數(shù),開啟安全選項(xiàng):
? ? ? ?'use_trans_sid' => 0, 'httponly' => true, 'secure' => true,?
? ? ? ?9、升級(jí)到安全版本
? ? ? ?官方會(huì)對(duì)一些安全隱患和潛在漏洞進(jìn)行修復(fù),并且發(fā)布一個(gè)更為安全的版本。請(qǐng)確認(rèn)你升級(jí)到更安全的版本,確保底層的安全和健壯性。
? ? ? ?目前各個(gè)版本的建議版本如下:
? ? ? ?大版本? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 安全建議版本
? ? ? ?3.2 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?3.2.4+
? ? ? ?5.0 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?5.0.21+
? ? ? ?5.1 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?5.1.25+
? ? ? ?關(guān)注官方的公眾號(hào)和開發(fā)者周刊,注意蕞新的安全更新。
? ? ? ?10、業(yè)務(wù)邏輯安全
? ? ? ?這個(gè)屬于應(yīng)用層面的安全,很多漏洞源于某個(gè)業(yè)務(wù)邏輯自身的安全隱患,包括沒有做合理的數(shù)據(jù)驗(yàn)證和權(quán)限檢查,尤其是涉及資金及財(cái)務(wù)層面的,一定要做更多的安全檢查,并且開啟事務(wù)。一個(gè)好的建議是更多的對(duì)應(yīng)用進(jìn)行分層設(shè)計(jì),減少每層的復(fù)雜性,獨(dú)立的分層設(shè)計(jì)便于提高安全性。
? ? ? ?11、服務(wù)器安全
? ? ? ?還有是運(yùn)維階段需要特別注意的,及時(shí)更新服務(wù)器的安全補(bǔ)丁,確保沒有可利用的公開系統(tǒng)漏洞,包括你的數(shù)據(jù)庫系統(tǒng)安(尤其是數(shù)據(jù)備份工作)。
? ? ? ?以上是南昌APP開發(fā)公司百恒科技小編要跟大家聊到的關(guān)于ThinkPHP的安全注意事項(xiàng),希望能夠?qū)Υ蠹矣兴鶐椭?,想要了解更多關(guān)于這方的內(nèi)容歡迎留言咨詢百恒科技,百恒科技專注于南昌APP開發(fā)、南昌小程序開發(fā)、南昌網(wǎng)站建設(shè)開發(fā)等服務(wù)!
相關(guān)文章推薦? ?:? ? 用FFmpeg對(duì)視頻轉(zhuǎn)碼壓縮的方法? ? ?
? ? ? ? ? ? ? ? ? ? 關(guān)于ThinkPHP開發(fā)框架遠(yuǎn)程代碼執(zhí)行漏洞的通告? ? ??