échec caché de tp5index.php-Problème PHP-php.cn

échec caché de tp5index.php

PHPz

Libérer： 2023-05-23 09:06:37

original

429 Les gens l'ont consulté

Récemment, certains développeurs de sites Web ont découvert un problème : sur les sites Web développés à l'aide du framework TP5, une mesure de protection permettant de masquer les fichiers dans tp5index.php a échoué. Dans cet article, nous explorerons les raisons de ce problème et comment corriger cette vulnérabilité.

Tout d’abord, nous devons comprendre ce qu’est tp5index.php. tp5index.php est le fichier d'entrée par défaut du framework TP5. Ce fichier est directement accessible au répertoire racine du site Web via l'URL sans aucun traitement. Cela apporte une grande commodité aux pirates informatiques. Si le fichier existe, le répertoire racine du site Web peut être facilement localisé grâce à ce fichier, permettant ainsi de lancer des attaques ultérieures.

Afin d'éviter ce genre d'attaque, les développeurs de TP5 ont trouvé un moyen de masquer le fichier tp5index.php. Les opérations spécifiques sont les suivantes :

1. Copiez le fichier tp5index.php et renommez-le index.php

2 Ajoutez le code suivant au fichier index.php nouvellement copié :

<?php
//定义变量以便于跳转时识别
define('APP_DEBUG', false);
define('APP_PATH', './application/');
//隐藏tp5index.php
define('BUILD_DIR_SECURE', true);
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';

Copier après la connexion

3. fichier php C'est tout

De cette façon, les pirates ne pourront pas accéder au fichier tp5index.php via l'URL, et ne pourront pas obtenir le chemin du répertoire racine du site Web, et la sécurité du site Web sera augmentée .

Cependant, un développeur a récemment découvert que même si tp5index.php est masqué, les pirates peuvent toujours accéder au fichier tp5index.php caché via l'URL. Pourquoi est-ce ?

En fait, ce problème réside dans la configuration de Nginx. Nginx traitera par défaut tous les fichiers avec .php comme suffixe, donc même si le fichier tp5index.php est masqué, il sera reconnu et traité par Nginx. Afin de résoudre ce problème, nous devons ajouter le code suivant au fichier de configuration Nginx :

location ~ .php$ {
    if ($request_uri ~* "tp5index.php") {
        return 404;
    }
    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include        fastcgi_params;
}

Copier après la connexion

La signification du code ci-dessus est : lorsque l'URL demandée contient tp5index.php, renvoyez directement le statut 404 sinon, suivez le ; flux de traitement PHP normal.

Grâce aux opérations ci-dessus, vous pouvez résoudre le problème d'échec caché de tp5index.php causé par la configuration de Nginx, améliorant ainsi encore la sécurité du site Web.

En bref, pour un site internet, il est crucial de protéger sa propre sécurité. Concernant le problème de défaillance cachée de tp5index.php, nous devons approfondir la nature du problème et trouver la solution la plus adaptée à notre site Web, afin de protéger les données et la confidentialité des utilisateurs.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!