php手把手教你做网站(三十二)网站开发安全性注意事项

2022-10-11 21:30:34 130 0
魁首哥

我所说的可能很多人都知道,掌握得也比较片面,只是平时的一些积累,希望能给初学者一些帮助吧。

如果有没有考虑到的,欢迎留下您的想法,让我们一起把网站做得更好、更安全。

1、在public下边新建文件夹,名称自己随意设定(这里假设名称web)。

  1. 都知道网站内有固定的public文件夹,如果只是放到public里边和放到根目录也没啥区别;
  2. 文件夹的名称不要有什么规律(单词之类的),我们越好记,别人就越容易猜到;
  3. 将tp程序文件放到web文件夹内,不是说tp的系统程序不安全,而是用的人多发现漏洞的可能就大,藏起来,安全性会得到一些提高;
  4. 前台程序也放到web文件夹下的时候,直接访问网站是不能访问的,因为根目录下没有首页文件,所以在根目录下新建入口文件:index.php;
  5. 如果只是新建index.php作为首页文件,而不是作为入口,url重写规则要做一下改变;
  6. 如果是程序员做多个网站,最好每个网站web文件夹名称都不相同,可以随机几个字母;

图1 tp5 程序都放到了public文件夹内

图2 tp6程序到了public内

如图,感觉整洁了不少

1)根目录下入口文件index.php

tp5入口文件

   

说明:

APP_PATH,和require的路径都加上了 /public/web

tp6入口文件

 namespace think;
require __DIR__ . '/public/web/vendor/autoload.php';
// 执行HTTP应用并响应
$http = (new App())->http;
$response = $http->name('index')->run();
$response->send();
$http->end($response);  

2)入口文件对应iis重写规则

 







  

说明:

  1. 我以前直接用好像有的public下的css被重写了,现在用的又没问题,忘记以前是什么情况下出现的了,如果直接用有错误,可以尝试换成
  2. 内的设计,我个人理解就是文件存在不重写;

3)根目录下index.php只是作为网站的首页访问

这个时候文件内容是什么,没有任何区别,可以是空白,反正填写任何内容都不会显示出来。

4)根目录下index.php 对应url重写规则

 


  

说明:

作用是排除掉public文件夹全部重写,public/web/文件夹下要有入口文件。

5)网站根目录下有的时候生成sitemap.xml

如果这个时候使用的是第4步的重写规则,直接访问,是被重写的,需要我们在规则内排除一下sitemap

 


  

2、文件夹关闭目录浏览

  1. 通常默认的可能就是禁止目录浏览的,可以自己测试一下 网址/你的文件夹名称,如果能看到该文件夹下的文件或者子文件夹说明没有禁止目录浏览;
  2. 如果不能操控服务器禁止目录浏览,可以在该文件夹下加一个首页文件(index.php或者index.html等等,根据你的默认首页文件名),该文件可以是空白内容;

3、图片上传

如果使用的是tp自带的上传,可能这些都有判断,我是用的以前的,安全性靠自己去提高。

1)图片改了扩展名上传

上传以后进行判断,getimagesize(“E:\phpweb\about.jpg”);可以返回图片的宽度,高度,mime类型,图片的mime类型有image/gif,image/jpeg,image/png其他的,比如:bmp图片,几乎用不到可以不考虑。通过判断类型是否这3个里边的,得出结论是否是图片,如果不是,unlink()删除该图片;

 $pic="E:\phpweb\about.jpg";
$picinfo=getimagesize($pic);
$mimearr=array('image/gif','image/jpeg','image/png');
$mime=$picinfo['mime']??'';
if(!in_array($mime,$mimearr)){
		@unlink($pic);
		echo json_encode(array('error'=>'0001','msg'=>"可疑文件,禁止上传"),JSON_UNESCAPED_UNICODE);
		exit;
}   

2)图片文件包含了木马

  1. 上传之前可以判断,通过获取tmp_name判断图片内是否有危险字符(来源网络);
  2. 在php.ini配置了upload_tmp_dir存放临时上传的文件,上传完成以后会移动到我们设定的目录;
  3. tmp_name就是这个临时文件名称;
 			if (file_exists($tmp_name)) {
				$resource = fopen($tmp_name, 'rb');
				fseek($resource, "0");
				$fileSize = filesize($tmp_name);
        if ($fileSize > 512) { // 若文件大于521B文件取头和尾
					$hexCode = bin2hex(fread($resource, "512"));
					fseek($resource,$fileSize-512);
					$hexCode .= bin2hex(fread($resource, 512));
        }else{ // 取全部
           $hexCode = bin2hex(fread($resource, $fileSize));
        }
				if (preg_match("/(3c25.*?28.*?29.*?253e)|(3c3f.*?28.*?29.*?3f3e)|(3C534352495054)|(2F5343524950543E)|(3C736372697074)|(2F7363726970743E)/is", $hexCode)){
					$status = 5;
				}else{
					$status = 0;
			    }		
			}  

说明:

$status安全码,返回0正常,5包含了可疑代码;

4、富文本编辑器默认所在文件夹

有的编辑器,集成了很多功能,直接处理上传,上传的图片,也会在编辑器的文件夹内,

  1. 我们需要更改编辑器默认的文件夹名称,可以是任意的最好不要有什么规律,防止有漏洞被人直接网址访问进行危险操作;
  2. 如果上传的图片是在编辑器所在文件夹,要进行修改,不能让别人通过查看文章内的图片路径得到编辑器所在文件夹;

5、管理员登陆密码错误次数限制

  1. 在后台登陆入口暴露以后,防止有人暴力破解,可以限制该账号错误次数,例如:错误3次,该账号锁定,当天不能再次登陆;
  2. 验证码感觉作用不是很大,很多软件都可以自动识别验证码;

6、登陆错误提示

  1. 不要账号错误提示账号错误,密码错误就提示密码错误,这样会导致破解的人知道是账号或者密码错了;
  2. 错误提示应该是:账号或者密码;
  3. 平时测试的时候,我们会常用admin或者admin888之类的账号,密码也都是一样的,在网站正式上线以后,一定要记得改掉这些常用的账号、密码;

我们习惯的账号密码,别人猜起来就会容易。

7、过滤危险字符防止sql注入

URL参数、文章搜索、留言板,我使用的是360提供的防sql注入类(Webscan)。

IndexController.php

 class IndexController extends CmController {

}  

CmController.php

 use checkdanger\Webscan;
class CmController extends BaseController {
      public function __construct(){
	    header("Content-Type:text/html; charset=utf-8");
		  $webscan = new Webscan();
		  if ($webscan->check()) {  
			  echo '系统检测到有攻击行为存在!';
		    exit;
      } 
}  

说明:

所有的页面先继承了CmController.php,CmController.php继承BaseController,构造函数内进行判断包含危险性字符,登陆过期等等。

8、不要显示详细错误信息

  1. tp5的调试模式:在application文件夹config.php,app_debug改为false,错误提示页面在thinkphp/tpl/think_exception.tpl;
  2. tp6调试模式:在.env文件APP_DEBUG改为false;config文件夹下app.php文件拉到最下边,show_error_msg改为false;错误提示页面vendor\topthink\framework\src\tpl/think_exception.tpl;
收藏
分享
海报
0 条评论
130
上一篇:「php」php中常用的加密解密算法的讲解(代码) 下一篇:3分钟短文 | PHP咋判断字符串是标准JSON?这样写很高效

本站已关闭游客评论,请登录或者注册后再评论吧~

忘记密码?

图形验证码