保持框架与系统更新
定期更新ThinkPHP框架至最新版本,以修复已知安全漏洞(如远程代码执行、反序列化漏洞等);同时更新Linux系统内核、PHP及依赖包,确保系统环境安全。
关闭错误报告与调试模式
生产环境中,修改php.ini文件将display_errors设置为Off,避免敏感信息(如数据库结构、代码逻辑)泄露;在ThinkPHP配置中关闭调试模式(app_debug = false),防止错误详情暴露给攻击者。
强化身份验证与授权
使用JWT(JSON Web Token)或API Key实现接口身份验证,确保只有授权用户可访问;通过ThinkPHP的RBAC(基于角色的访问控制)组件,根据用户角色(如管理员、普通用户)限制对敏感接口的访问权限。
严格输入验证与过滤
利用ThinkPHP的验证器(Validator)对用户输入(如表单、URL参数)进行规则验证(如长度、格式、类型);通过I函数(如I('get.id', 0, 'intval'))或全局配置(config/app.php中设置default_filter为trim,strip_tags,htmlspecialchars)过滤输入数据,防止SQL注入、XSS攻击。
防范常见Web攻击
Db::name('table')->where('field', $value)->find())或ORM功能,避免直接拼接SQL语句;htmlspecialchars函数过滤;config/csrf.php中开启CSRF验证(enable = true),指定验证请求类型(如POST、PUT)及令牌字段名(如__token__);jpg、png)、大小(如2MB),对上传文件进行病毒扫描,并将文件存储至非WEB目录。配置安全会话与Cookie
在config/session.php中设置会话过期时间(如expire = 1800秒)、驱动(如redis提升性能),并开启数据加密(encrypt = true);在config/cookie.php中设置secure = true(仅通过HTTPS传输Cookie)、httponly = true(禁止JavaScript访问Cookie),增强会话与Cookie安全性。
优化Linux服务器配置
使用iptables或firewalld配置防火墙,限制不必要的网络端口(如仅开放80、443端口);通过fail2ban限制恶意IP的访问频率,防止DDoS攻击;配置HTTPS(通过Let’s Encrypt申请免费SSL证书),加密数据传输。
合理设置文件权限
确保Web服务器用户(如www-data)对项目文件具有最小权限:PHP文件设置为644(所有者可读写,组和其他用户只读),目录设置为755(所有者可读写执行,组和其他用户可读执行);避免将项目目录或框架目录放置在WEB根目录下(如将框架目录放在/var/www/html之外)。
其他安全措施
将Web根目录指向项目的public目录(而非项目根目录),防止直接访问应用核心文件;禁用PHP危险函数(如eval、exec、system),在php.ini中修改disable_functions参数;定期备份数据库及重要文件(如项目代码、上传文件),防止数据丢失。