文档章节

ThinkPHP3.1 安全要点

brivio
 brivio
发布于 2014/01/03 09:53
字数 2904
阅读 126
收藏 10
点赞 1
评论 0

在开发过程中,除了确保业务逻辑没有安全隐患外,应该充分了解和利用框架内建的安全机制或者工具来确保应用以及服务器的安全性,下面我们总结下ThinkPHP中涉及到的安全机制。

系统安全

系统安全指ThinkPHP可以配合的服务器的安全部署策略。

应用部署建议

首先,我们建议在条件允 许的情况下,把框架目录和项目目录都部署在非WEB访问目录下面,ThinkPHP的访问机制完全支持框架和项目的非WEB目录访问,你只需要把入口文件 和资源(主要是指JS、样式和图片文件)目录放置于WEB目录下面即可。因此,建议的部署目录如下:

  1. index.php 项目入口文件

  2. Public/ 项目资源文件目录

  3.     Js/ JS目录

  4.     Css/ 样式文件目录

  5.     Images/  图像文件目录

  6. protected/ (受保护的目录,可以部署到非WEB目录或者设置安全访问)

  7.     ThinkPHP/ 框架系统目录

  8.     App/ 项目目录

  9.     Uploads/ 项目上传目录

复制代码

系统安全设置

如果你已经通过部署策略设置了系统目录安全访问的话,则可以跳过这段。
如果你无法完全做到上述的服务器目录安全保护,也无需担心,ThinkPHP仍然可以通过设置确保你的目录安全。框架的核心文件本身已经做了访问判断,所有核心文件均不能直接在URL中被访问,因此也不用担心直接访问某些文件导致的错误暴露你的服务器路径之类的信息。
对于应用目录,系统则提供了目录安全访问机制,你可以在第一次生成项目目录结构之前,在入口文件中添加:

  1. define('BUILD_DIR_SECURE', true);

复制代码

运行项目后会自动给项目的相关目录生成目录安全文件(在相关的目录下面生成空白的htm文件),并且可以自定义安全文件的文件名 DIR_SECURE_FILENAME ,默认是index.html,如果你想给你们的安全文件定义为default.html可以使用

  1. define('DIR_SECURE_FILENAME', 'default.html');

复制代码

还可以支持多个安全文件写入,例如你想同时写入index.html和index.htm 两个文件,以满足不同的服务器部署环境,可以这样定义:
  1. define('DIR_SECURE_FILENAME', 'index.html,index.htm');

复制代码

默认的安全文件只是写入一个空白字符串,如果需要写入其他内容,可以通过DIR_SECURE_CONTENT参数来指定,例如:
  1. define('DIR_SECURE_CONTENT', 'deney Access!');

复制代码

下面是一个完整的使用目录安全写入的例子
  1. define('BUILD_DIR_SECURE',true);

  2. define('DIR_SECURE_FILENAME', 'index.html');

  3. define('DIR_SECURE_CONTENT', 'deney Access!');

复制代码

除 了目录安全之外,还需要保护模板文件不被直接访问,因为有可能会在模板文件中暴露数据表的字段信息。解决办法是配置.htaccess文件(针对 Apache服务器,其他服务器参考修改),把以下代码保存在项目的模板目录目录(默认是Tpl)下保存存为.htaccess。
  1. <Files *.html>

  2.   Order Allow,Deny 

  3.   Deny from all

  4. </Files>

复制代码

如果你的模板文件后缀不是html可以将*.html改成你的模板文件的后缀。

表单安全

自动验证和自动完成

ThinkPHP内置的自动验证自动完成功能可以有效地对表单提交的数据安全加以控制。这两部分在快速入门系列中已经有过详细的介绍,就不再描述了。

表单令牌

ThinkPHP内置了表单令牌验证功能,可以有效防止表单的重复提交等安全防护。
表单令牌验证相关的配置参数有:

  1. 'TOKEN_ON'=>true,  // 是否开启令牌验证 默认关闭

  2. 'TOKEN_NAME'=>'__hash__',    // 令牌验证的表单隐藏字段名称

  3. 'TOKEN_TYPE'=>'md5',  //令牌哈希验证规则 默认为MD5

  4. 'TOKEN_RESET'=>true,  //令牌验证出错后是否重置令牌 默认为true

复制代码

如果开启表单令牌验证功能,系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证。
自动生成的隐藏域位于表单Form结束标志之前,如果希望自己控制隐藏域的位置,可以手动在表单页面添加{__TOKEN__} 标识,系统会在输出模板的时候自动替换。
如果页面中存在多个表单,建议添加{__TOKEN__}标识,并确保只有一个表单需要令牌验证。
如果个别页面输出不希望进行表单令牌验证,可以在控制器中的输出方法之前动态关闭表单令牌验证,例如:

  1. C('TOKEN_ON',false);

  2. $this->display();

复制代码

模型类在创建数据对象的同时会自动进行表单令牌验证操作,如果你没有使用create方法创建数据对象的话,则需要手动调用模型的autoCheckToken方法进行表单令牌验证。如果返回false,则表示表单令牌验证错误。例如:
  1. $User = M("User"); // 实例化User对象

  2. // 手动进行令牌验证

  3. if (!$User->autoCheckToken($_POST)){

  4. // 令牌验证错误

  5. }

复制代码

表单合法性检测

表单合法性检测是3.1版本开始增加的表单提交字段检测机制,你不再需要担心用户在提交表单的时候注入非法字段数据了。表单字段合法性检测需要使用create方法创建数据对象的时候才能生效,有两种方式:

一、属性定义

可以给模型配置insertFields 和 updateFields属性用于新增和编辑表单设置,使用create方法创建数据对象的时候,不在定义范围内的属性将直接丢弃,避免表单提交非法数据。
insertFields 和 updateFields属性的设置采用字符串(逗号分割多个字段)或者数组的方式,例如:

  1. class UserModel extends Model{

  2.     protected $insertFields = array('account','password','nickname','email');

  3.     protected $updateFields = array('nickname','email');

  4. }

复制代码

设置的字段应该是实际的数据表字段,而不受字段映射的影响。
在使用的时候,我们调用create方法的时候,会根据提交类型自动识别insertFields和updateFields属性:

  1. D('User')->create();

复制代码

使用create方法创建数据对象的时候,新增用户数据的时候,就会屏蔽'account','password','nickname','email' 之外的字段,编辑的时候就会屏蔽'nickname','email'之外的字段。
下面是采用字符串定义的方式,同样有效:
  1. class UserModel extends Model{

  2.     protected $insertFields = 'account,password,nickname,email';

  3.     protected $updateFields = 'nickname,email';

  4. }

复制代码

二、方法调用

如果不想定义insertFields和updateFields属性,或者希望可以动态调用,可以在调用create方法之前直接调用field方法,例如,实现和上面的例子同样的作用:
在新增用户数据的时候,使用:

  1. $User = M('User');

  2. $User->field('account,password,nickname,email')->create();

  3. $User->add();

复制代码

而在更新用户数据的时候,使用:

  1. $User = M('User');

  2. $User->field('nickname,email')->create();

  3. $User->where($map)->save();

复制代码

这里的字段也是实际的数据表字段。field方法也可以使用数组方式。
如果你的字段比较多,还可以使用field方法的排除功能,例如:
  1. $User->field('status,create_time',true)->create();

复制代码


变量安全

变量安全获取

对全局系统变量的获取建议采用系统提供的变量获取方法获取,具体可以参考快速入门系列的变量

全局变量过滤

如果你习惯于直接调用$_GET $_POST变量的话,那么或者可以采用ThinkPHP系统内置的对全局变量的安全过滤方式,只需要设置VAR_FILTERS参数。
例如:

  1. 'VAR_FILTERS'=>'htmlspecialchars'

复制代码

在3.1.2版本开始,安全过滤方法的定义函数需要调整为引用返回的方式,而且能够实现多维数组的递归过滤,例如:

  1. 'VAR_FILTERS'=>'filter_vars'

复制代码

对应的过滤方法定义如下:
  1. function filter_vars(&$value){

  2.     $value = htmlspecialchars($value);

  3. }

复制代码


数据安全

防SQL注入

对于WEB应用来说,SQL注入攻击无疑是首要防范的安全问题,系统底层对于数据安全方面本身进行了很多的处理和相应的防范机制,例如:

  1. $User = M("User"); // 实例化User对象

  2. $User->find($_GET["id"]);

复制代码


即便用户输入了一些恶意的id参数,系统也会强制转换成整型,避免恶意注入。这是因为,系统会对数据进行强制的数据类型检测,并且对数据来源进行数据格式转换。而且,对于字符串类型的数据,ThinkPHP都会进行escape_string处理。
通常的安全隐患在于你的查询条件使用了字符串参数,然后其中一些变量又依赖由客户端的用户输入,要有效的防止SQL注入问题,我们建议:
查询条件尽量使用数组方式,这是更为安全的方式;
如果不得已必须使用字符串查询条件,使用预处理机制;

查询条件预处理

where方法使用字符串条件的时候,支持预处理(安全过滤),并支持两种方式传入预处理参数,例如:

  1. $Model->where("id=%d and username='%s' and xx='%f'",array($id,$username,$xx))->select();

复制代码

或者

  1. $Model->where("id=%d and username='%s' and xx='%f'",$id,$username,$xx)->select();

复制代码

模型的query和execute方法 同样支持预处理机制,例如:
  1. $model->query('select * from user where id=%d and status=%d',$id,$status);

复制代码

或者
  1. $model->query('select * from user where id=%d and status=%d',array($id,$status));

复制代码

execute方法用法同query方法。

防XSS攻击

XSS(跨站脚本攻击)可以用于窃取其他用户的Cookie信息,要避免此类问题,可以采用如下解决方案:
   直接过滤所有的JavaScript脚本;
   转义Html元字符,使用htmlentities、htmlspecialchars等函数;
   系统的扩展函数库提供了XSS安全过滤的remove_xss方法;
   新版对URL访问的一些系统变量已经做了XSS处理。

上传安全

网站的上传功能也是一个非常容易被攻击的入口,所以对上传功能的安全检查是尤其必要的。
系统提供的上传扩展类库(ORG.Net.UploadFile)提供了安全方面的支持,包括对文件后缀、文件类型、文件大小以及上传图片文件的合法性检查,确保你已经在上传操作中启用了这些合法性检查。

其他安全建议

下面的一些安全建议也是非常重要的:
对所有公共的操作方法做必要的安全检查,防止用户通过URL直接调用;
不要缓存需要用户认证的页面;
对于关键操作需要检查用户权限;
对用户的上传文件,做必要的安全检查,例如上传路径和非法格式。
如非必要,不要开启服务器的目录浏览权限;
对于项目进行充分的测试,不要生成业务逻辑的安全隐患(这可能是最大的安全问题);


© 著作权归作者所有

共有 人打赏支持
brivio
粉丝 5
博文 33
码字总数 28018
作品 0
杭州
程序员
thinkphp的URL大小写敏感的解决方法

今天我给博客程序作了升级,也就是把WBlog的核心由ThinkPHP3.1替换成ThinkPHP3.12,因为版本比较接近,所以没有产生什么大的变化,但小问题还是有的。升级后,首页浏览正常,但点击导航的URL...

尘世如潮 ⋅ 2016/03/18 ⋅ 0

RhinkPHP框架问题

ThinkPHP3.0和ThinkPHP3.1有区别吗??区别很大吗?????求告知!

zylgxn ⋅ 2014/09/27 ⋅ 3

thinkphp3.1 开启子域名后,U函数生成的url没有分组名

@麦当苗儿 你好,想跟你请教个问题:thinkphp3.1 开启子域名后,U函数生成的url没有分组名

phper2010 ⋅ 2014/02/14 ⋅ 0

ThinkPHP3.1 安全快速入门

ThinkPHP3.1 安全快速入门 在开发过程中,除了确保业务逻辑没有安全隐患外,应该充分了解和利用框架内建的安全机制或者工具来确保应用以及服务器的安全性,下面我们总结下ThinkPHP中涉及到的...

橙汁儿 ⋅ 2012/11/23 ⋅ 7

php用gd库生成验证码输出显示不了

有一个ThinkPHP3.1的程序,我把他搬到服务器上去nginx+PHP5.3 phpinfo显示已经开启了gd库,然后源码里有一句话 static function output($im, $type='png', $filename='') { header("Content-t...

IT囚徒 ⋅ 2017/06/07 ⋅ 1

PHP博客系统--WBlog

Wblog是一个基于thinkphp3.1框架开发的轻量级的简洁实用的PHP博客系统,倡导“大道至简,开发由我”的理念,用最少的代码完成更多的功能。更多功能仍在完善中。。。 目前主要功能:   主博...

匿名 ⋅ 2012/11/02 ⋅ 0

图学java基础篇之集合

(本文部分图片引用自其他博客,最后有链接,侵删。由于笔记使用markdown记录,格式可能不是太好看,见谅) 红字为java.util包下的,绿字为concurrent包下扩展的与并发相关的类 功能:有序非...

oO脾气不坏Oo ⋅ 2015/10/24 ⋅ 0

安卓应用安全指南 4.3.1 创建/使用内容供应器 示例代码

4.3.1 创建/使用内容供应器 示例代码 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 使用内容供应器的风险和对策取决于内容供应器的使...

apachecn_飞龙 ⋅ 03/22 ⋅ 0

给thinkphp案例blog的标签添加个删除方法

thinkphp3.1框架中的案例blog,添加日记的同时可以添加标签tag,但仅此而已。当删除日记时,标签并没有被删除掉,从而造成 thinktagged表和thinktag累积了垃圾数据。为了实现删除日记的同时也...

网菠萝果 ⋅ 2012/09/16 ⋅ 0

安卓应用安全指南 4.1.1 创建/使用活动 示例代码

4.1.1 创建/使用活动 示例代码 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 使用活动的风险和对策取决于活动的使用方式。 在本节中...

apachecn_飞龙 ⋅ 03/16 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

行政区划代码转为字典形式

原数据为: http://www.mca.gov.cn/article/sj/xzqh/2018/201804-12/201804-06041553.html 手动替换了一下格式,并使用下面的代码处理. # 输入格式s = """110000:北京市110101:东城区1101...

漫步海边小路 ⋅ 9分钟前 ⋅ 0

android apk 签名

创建key,需要用到keytool.exe (位于C:\Program Files\Java\jdk1.6.0_10\bin目录下),使用产生的key对apk签名用到的是jarsigner.exe (位于C:\Program Files\Java\jdk1.6.0_10\bin目录下),把...

国仔饼 ⋅ 18分钟前 ⋅ 0

springcloud+jps+mybatis多数据库配置

多数据库配置 配置我们目录结构设置: config ---datasource ----jpa ----mybatis ----redis Datasource中是数据的相关配置 Jap中是springDatajpa的相关配置 Mybatis中是mybatis的相关配置 ...

大-智-若-愚 ⋅ 25分钟前 ⋅ 0

Spring mvc HandlerMapping 实现机制

概述 当DispatcherServlet接受到客户端的请求后,SpringMVC 通过 HandlerMapping 找到请求的Controller。 HandlerMapping 在这里起到路由的作用,负责找到请求的Controller。 Spring MVC 默认...

轨迹_ ⋅ 28分钟前 ⋅ 0

JavaScript零基础入门——(十)JavaScript的DOM基础

JavaScript零基础入门——(十)JavaScript的DOM基础 欢迎大家回到我们的JavaScript零基础入门,上一节课,我们了解了JavaScript中的函数,这一节课,我们来了解一下JavaScript的DOM。 第一节...

JandenMa ⋅ 今天 ⋅ 0

Weex起步

本教程假设你已经在你的本地环境安装了node 其实weex起步教程在 https://github.com/lilugirl/incubator-weex 项目说明文件中都已经有了,但为了有些同学看到英文秒变文盲,所以这里我重新写...

lilugirl ⋅ 今天 ⋅ 0

Jenkins实践1 之安装

1 下载 http://mirrors.jenkins.io/war/latest/jenkins.war 2 启动 java -jar jenkins.war 前提:安装jdk并配置环境变量 启动结果节选: ************************************************......

晨猫 ⋅ 今天 ⋅ 0

组合数学 1-2000 中,能被6或10整除的数的个数

1--2000 中,能被6或10整除的数的个数 利用集合的性质 能被6整除的个数 2000/6 = 333 能被10整除的个数 2000/10 = 200 能被6和10整除的个数 2000/30 = 66 能被6或10整除的个数 333+200-66 =...

阿豪boy ⋅ 今天 ⋅ 0

一篇文章学懂Shell脚本

Shell脚本,就是利用Shell的命令解释的功能,对一个纯文本的文件进行解析,然后执行这些功能,也可以说Shell脚本就是一系列命令的集合。 Shell可以直接使用在win/Unix/Linux上面,并且可以调用...

Jake_xun ⋅ 今天 ⋅ 0

大数据工程师需要精通算法吗,要达到一个什么程度呢?

机器学习是人工智能的一个重要分支,而机器学习下最重要的就是算法,本文讲述归纳了入门级的几个机器学习算法,加大数据学习群:716581014一起加入AI技术大本营。 1、监督学习算法 这个算法由...

董黎明 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部