以下是Linux环境中ThinkPHP的安全配置要点:
- 系统与框架更新
- 定期更新ThinkPHP框架、PHP及系统软件包,修复安全漏洞。
- 生产环境关闭调试模式(
app_debug = false)。
- 输入验证与过滤
- 使用ThinkPHP验证器对用户输入进行规则校验(如长度、格式)。
- 过滤恶意代码,防止XSS攻击(自动转义HTML标签)。
- 防止常见攻击
- SQL注入:使用预处理语句或ORM参数绑定,避免直接拼接SQL。
- CSRF防护:启用CSRF令牌机制,验证表单提交合法性。
- 文件上传安全:限制文件类型、大小,校验文件内容,存储至非Web根目录。
- 权限与环境配置
- 设置Web服务器文件权限(目录755、文件644),敏感文件禁止执行权限。
- 禁用危险PHP函数(如
eval、exec)。
- 配置防火墙(如
ufw/firewalld)限制非必要端口访问。
- 数据与通信安全
- 数据库连接使用参数化查询,敏感数据加密存储(如密码用bcrypt)。
- 启用HTTPS加密传输,配置SSL证书。
- 安全机制扩展
- 使用JWT或API Key实现身份认证,结合RBAC控制权限。
- 限制接口访问频率,防范DDoS攻击。
参考来源: