Linux服务器上ThinkPHP安全加固

Linux服务器上ThinkPHP安全加固指南

一、系统与框架基础安全

1. 系统层安全加固

• 保持系统与依赖更新：定期执行sudo yum update -y（CentOS）或sudo apt update && sudo apt upgrade（Ubuntu），更新系统内核、PHP及MySQL等依赖包，修复已知安全漏洞。
• 关闭PHP错误报告：生产环境中修改php.ini文件，将display_errors = On改为display_errors = Off，避免敏感信息（如数据库凭证、服务器路径）通过错误页面泄露。
• 配置PHP安全参数：调整php.ini中的memory_limit（建议256M）、max_execution_time（建议30秒）、upload_max_filesize（建议2M），限制资源滥用，防止恶意上传大文件或执行长时间脚本。

2. ThinkPHP框架配置

• 关闭调试模式：修改config/app.php中的app_debug = false，禁用详细错误信息展示，防止攻击者通过错误提示定位框架漏洞或数据库结构。
• 设置强应用密钥：在config/app.php中配置app_key，使用openssl rand -hex 32生成强随机密钥（如a1b2c3d4e5f6...），用于Cookie、Session加密及身份验证，避免密钥泄露导致的数据解密风险。
• 禁用不必要模块：删除或重命名application目录下不使用的模块文件夹（如extra、test），并在配置文件中注释对应模块配置，减少攻击面。

二、输入数据安全防护

1. 输入验证与过滤

• 使用ThinkPHP验证器：通过Validate类定义严格的验证规则（如字段必填、长度、格式），在控制器中对用户输入（表单、URL参数）进行校验。示例：

  $validate = new \think\Validate([
      'username' => 'require|max:25|min:3',
      'email' => 'require|email',
      'age' => 'number|between:1,120'
  ]);
  if (!$validate->check(input('post.'))) {
      return json(['error' => $validate->getError()]);
  }
  

• 全局数据过滤：在config/app.php中配置app_filter（如strip_tags|htmlspecialchars），对所有输入数据进行自动清洗，去除HTML标签、转义特殊字符，防止XSS攻击。

2. SQL注入防护

• 使用ORM/查询构造器：优先采用ThinkPHP的ORM（如Db::name('user')->where('id', $id)->find()）或查询构造器，框架会自动使用PDO预处理语句和参数绑定，避免SQL拼接漏洞。若需原生SQL，必须使用?占位符绑定参数。

三、敏感数据与传输安全

1. 数据存储安全

• 加密敏感数据：对数据库中的密码、手机号等敏感信息，使用think\facade\Crypt类进行加密存储（如Crypt::encrypt('123456')），读取时使用Crypt::decrypt解密。
• 数据库安全配置：为数据库设置强密码（包含大小写字母、数字、特殊字符），修改MySQL默认端口（如从3306改为3307），限制数据库用户权限（仅授予应用所需的最小权限，如SELECT、INSERT）。

2. 传输安全

• 启用HTTPS：通过Let’s Encrypt等免费SSL证书服务商申请证书，配置Nginx或Apache启用HTTPS（如listen 443 ssl;），加密客户端与服务器之间的数据传输，防止中间人攻击。

四、文件与权限管理

1. 文件上传安全

• 限制上传参数：使用ThinkPHP的File类对上传文件进行验证，限制文件类型（如jpg,png,gif）、大小（如2M）、扩展名（如image/jpeg）。示例：

  $file = request()->file('file');
  $info = $file->validate(['size' => 1024*1024*2, 'ext' => 'jpg,png,gif'])->move(public_path('uploads'));
  if (!$info) {
      return json(['error' => '文件大小或类型错误']);
  }
  

• 存储上传文件：将上传文件存放在public/uploads等非Web根目录外的位置（需通过Nginx/Apache配置别名访问），避免直接通过URL访问上传的恶意文件（如PHP木马）。

2. 权限设置

• 项目目录权限：使用chmod -R 755 /path/to/thinkphp/project设置项目目录权限，确保Web服务器用户（如nginx、apache）仅有读取权限；runtime目录（用于存储缓存、日志）设置为775，并配置Nginx禁止直接访问（如location ~ ^/runtime/ { deny all; }）。
• 处理SELinux限制：若服务器启用SELinux，临时关闭测试（setenforce 0），永久解决方案为修改/etc/selinux/config中的SELINUX=disabled；为上传目录设置正确的SELinux上下文（如chcon -R -t httpd_sys_rw_content_t /path/to/uploads）。

五、运行环境与攻击防护

1. 防火墙配置

• 限制端口访问：使用firewalld限制非必要端口访问，开放HTTP（80）、HTTPS（443）端口，移除不必要的端口（如FTP、Telnet），防止非法访问。示例：

  sudo firewall-cmd --add-service=http --add-service=https --permanent
  sudo firewall-cmd --reload
  

• 限制SSH访问：修改/etc/ssh/sshd_config，禁用root直接登录（PermitRootLogin no）、设置空闲超时退出（ClientAliveInterval 300），降低SSH爆破风险。

2. 会话安全

• 配置会话加密：在config/session.php中设置encrypt = true，加密Session数据，防止会话劫持时数据泄露。
• 会话固定防护：在用户登录成功后，调用session_regenerate_id(true)生成新的Session ID，避免攻击者通过固定Session ID劫持会话。

3. 防暴力破解

• 限制访问速率：使用iptables或fail2ban限制同一IP地址的频繁请求（如每分钟超过10次登录尝试），自动封禁恶意IP。示例iptables规则：

  iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/min -j ACCEPT
  iptables -A INPUT -p tcp --dport 80 -j DROP
  

4. 防CSRF攻击

• 启用CSRF中间件：在config/middleware.php中添加think\middleware\CheckCsrfToken::class，启用框架内置CSRF防护；在表单中添加CSRF令牌字段（<input type="hidden" name="__token__" value="{:csrf_token()}">），验证请求的合法性。