tp5是優秀的輕量級php開發框架,為我們的開發提供了很多便捷。但是有時候tp5一些預設配置很容易忽視,不然會導致滲透攻擊,本文我來分享一下我的一些小經驗
1、關閉除錯模式
htmlspecialchars:防xss攻擊,尖括號等轉義過濾
addslashes:防sql注入,在每個雙引號(")前新增
strip_tags:剝去字串中的 html 標籤
3、登入開啟驗證碼模式
常見滲透攻擊當然是少不了暴力破解,對你賬號密碼弄一套字典,然後進行列舉登入嘗試。遇到這樣的情況,解決方法可以是限制ip時間段內的錯誤次數、驗證碼登入等等。而tp5正好提供了驗證碼類,並且使用簡單。具體可以參考tp5驗證碼功能介紹
4、上傳型別白名單限制
常見滲透攻擊還有是檔案上傳類,可以通過抓包把上傳的惡意檔案進行改字尾來繞過前端對檔案型別的限制,然後再網頁執行,這攻擊往往屬於高危漏洞級別。那麼我們應該後端可以對檔案的型別進行白名單來限制該攻擊。比如,上傳,那麼我們就只執行檔案格式型別為jpg、gif、png等格式。以下為我的專案中上傳通用方法中的修改:
); //白名單陣列
$files = request()->file();
if (is_array($files)) else
}} else else
}ps:除了白名單限制,對於上傳目錄以最小許可權原則分配。
TP5框架 《防sql注入 防xss攻擊》
中有個配置選項 框架預設沒有設定任何過濾規則,你可以是配置檔案中設定全域性的過濾規則 預設全域性過濾方法 用逗號分隔多個 default filter htmlspecialchars,addslashes,strip tags htmlspecialchars 防xss攻擊,尖括號等轉義過濾 ad...
TP5框架 《防sql注入 防xss攻擊》
框架預設沒有設定任何過濾規則,你可以是配置檔案中設定全域性的過濾規則 預設全域性過濾方法 用逗號分隔多個 default filter htmlspecialchars,addslashes,strip tags htmlspecialchars 防xss攻擊,尖括號等轉義過濾 addslashes...
自學TP5原始碼(一)
感覺在中國 thinkphp 在 php 框架中還是占有主導地位的。所以想透徹的理解一下這個聽說簡單易學的框架。1.入口檔案 定義應用目錄 載入框架引導檔案 require dir thinkphp start.php 複製 2.引導檔案namespace think thinkphp 引導檔案 1...