ThinkPHP에 대한 보안 고려사항

이 글에서는 ThinkPHP의 권장 보안 표준 관행으로 사용될 수 있는 ThinkPHP의 보안 예방 조치에 대해 주로 설명합니다.

우선 절대적인 안전은 없습니다. 충분한 안전의식만 갖고 있다면 안전위험을 최대한 없앨 수 있습니다. 프레임워크의 표준 사용은 겉보기에 순진해 보이는 보안 문제를 방지하는 데 도움이 될 수 있습니다. 이 문서에서 설명하는 보안 예방 조치는 주로 프로덕션 환경에서의 보안 전략을 의미합니다. 로컬 개발의 경우 디버깅 시 보안이 첫 번째 고려 사항이 아닐 수 있습니다.

ThinkPHP는 개발 경험을 고려하면서 여전히 프레임워크의 기본 보안을 매우 중요하게 생각합니다. 비록 보안 취약점이 자주 보고되지만 공식적으로는 가능한 한 빨리 이를 수정할 것이며 대부분의 취약점은 개발자가 특정 수준만 보유하면 됩니다. 올해는 국내 여러 보안팀과 협력 관계를 구축해 프레임워크 내에서 악용될 수 있는 취약점이나 숨겨진 위험을 사전에 발견하고 신속하게 수정할 수 있도록 했습니다.

배포 표준화

많은 개발자들은 이 점에 특별한 주의를 기울이지 않습니다. 보안은 전반적인 문제이므로 배포 보안 정책도 마찬가지로 심각합니다. .

많은 개발자가 공식 배포 사양에 따라 배포하지 않는 경우가 많습니다. WEB 루트 디렉터리가 애플리케이션 루트 디렉터리가 아닌 공용 디렉터리를 가리키도록 하고 항목 파일의 위치를 ​​마음대로 변경하지 마세요. 공용 디렉터리 아래에 항목 파일과 리소스 파일을 제외한 다른 응용 프로그램 파일을 두지 마십시오.

디버깅 모드 끄기

프로덕션 환경에 배포할 때 디버깅 모드가 꺼졌는지 확인하세요. 환경 변수를 수정하여 디버깅 모드를 끌 수 있습니다.

APP_DEBUG=false

로컬 개발이든 프로덕션 환경 배포이든 구성 파일을 수정하여 디버깅 모드를 직접 켜거나 끄는 것은 권장되지 않습니다. 대신 환경 변수를 사용해야 합니다(로컬 개발에서는 .env 파일을 정의할 수 있음).

디버깅 모드를 끈 후 시스템의 상태 및 작동 모니터링은 주로 로그나 사용하는 모니터링 서비스에 의존합니다. 그러므로 정기적으로 로그와 실행 상태를 확인하는 습관을 길러야 합니다.

요청 변수 필터링

사용자 입력을 절대 믿지 마세요. 이것은 현명한 말입니다. 요청 변수를 최대한 필터링하면 대부분의 취약점과 숨겨진 위험을 효과적으로 방지할 수 있습니다.

요청 변수를 얻기 위해 프레임워크에서 권장하는 방법은 Request 클래스의 param 메서드입니다(필요하지 않은 경우 get 또는 post 메서드를 사용하지 말고, 네이티브 $_GET/$_POST 및 기타 메서드를 사용하여 가져오지 마십시오). 그것).

public function index(Request $request)
{
    $name = $request->param('name');
    // 在这里可以根据你的业务需求进行更严谨的过滤
    // 例如 $name = $request->param('name','','htmlentities,strtolower');
    // 或者使用验证器进行专门的验证
}

일반 유형의 요청 변수의 경우 param 메소드를 사용할 때 유형 캐스팅을 사용할 수 있습니다. 예:

public function index(Request $request)
{
    // 强制转换字符串数据
    $name = $request->param('name/s');
    // 强制转换整型数据
    $name = $request->param('id/d');
    // 强制转换浮点型数据
    $name = $request->param('score/f');
}

또는 메소드 매개변수를 직접 사용하여 요청 변수를 얻습니다.

public function index(string $name)
{
    // 在这里可以根据你的业务需求进行更严谨的过滤
    // 或者使用验证器进行专门的验证
}

모든 데이터를 처리해야 하는 경우 전역 필터링 방법을 설정할 수 있습니다. 다양한 애플리케이션 요구 사항에 맞게 default_filter 필터링 규칙을 설정합니다(기본적으로 필터링 규칙 없음). 일반적인 보안 필터링 기능에는 스트립슬래시, htmlentities, htmlspecialchars, Strip_tags 등이 포함됩니다. 비즈니스 시나리오에 따라 가장 적절한 필터링 방법을 선택하십시오.

여러 데이터를 얻어야 하는 경우 일부 악의적인 데이터 제출로 인해 발생하는 권한 문제를 피하기 위해 가져올 변수 이름을 지정하는 유일한 방법을 사용하는 것이 좋습니다.

public function index(Request $request)
{
    // 指定表单数据名称
    $data = $request->only(['name','title']);
}

데이터베이스 또는 모델 작업을 사용하여 데이터를 쓸 때 불법적이고 원치 않는 필드가 데이터베이스에 기록되지 않도록 필드를 지정할 수도 있습니다.

// 模型
User::allowField(['name','title'])
    ->save($data);
// 数据库
Db::name('user')
    ->field(['name','title'])
    ->insert($data);

모델에는 외부에서 데이터가 수정되는 것을 방지하기 위한 읽기 전용 필드 기능도 있습니다.

업로드 감지

웹사이트의 업로드 기능 역시 공격을 받기 쉬운 진입점이므로 특히 업로드 기능에 대한 보안 점검이 필요합니다.

시스템의 thinkFile 클래스는 파일 접미사, 파일 유형, 파일 크기 및 업로드된 이미지 파일에 대한 합법성 검사를 포함하여 파일 업로드에 대한 보안 지원을 제공합니다. 업로드 작업 중에 이러한 합법성 검사를 활성화했는지 확인하세요. .

SQL 주입

ThinkPHP의 쿼리는 PDO의 준비 사전 쿼리 및 매개변수 바인딩 메커니즘을 균일하게 사용하므로 SQL 주입 발생을 효과적으로 방지할 수 있습니다. 그러나 이것이 절대적으로 안전하다는 것을 의미하지는 않습니다. 좋은 코딩 표준이 없다면 여전히 악용될 수 있습니다.

가장 간단한 원칙 중 하나는 사용자가 쿼리 조건(또는 필드 정렬)을 결정하고 쿼리 데이터를 제어하도록 허용하지 않는 것입니다.

일부 문자열 쿼리 조건(기본 쿼리 포함) 또는 특수 쿼리(ORDER 부분 포함)의 경우 수동 매개변수 바인딩이 필요합니다.

// 错误的
Db::query("select * from think_user where id=$id AND status=$statis");
// 正确的
Db::query("select * from think_user where id=? AND status=?", [ $id, $status]);
// 正确的
Db::execute("update think_user set name=:name where status=:status", [
    'name'     => 'thinkphp', 
    'status'   => 1
]);

whereExp 및 whereRaw 메서드를 사용하는 쿼리의 경우 매개변수 바인딩도 사용해야 합니다.

Db::name('user')
    ->whereRaw('id > ? AND status = ?',[10, 1])
    ->select();

검증기 사용

많은 양의 양식을 검증해야 하는 상황에서는 데이터 준수 여부를 균일하게 검증하기 위해 검증기 기능을 사용하는 것이 좋습니다. 유효성 검사기의 유효성 검사 작업은 컨트롤러 또는 라우팅 단계에서 유효성 검사 방법을 사용하여 처리되어야 합니다. 새 버전에서는 모델의 데이터 유효성 검사 기능이 취소되어 더 이상 안전하게 처리된 데이터를 전달하지 않는 것이 좋습니다. 모델과 데이터베이스.

XSS 공격

跨站脚本攻击（cross-site scripting，简称 XSS），XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

在渲染输出的页面中，要对一些数据进行安全处理，防止被恶意利用造成XSS攻击，如果是5.1版本的话，所有的输出都已经经过了htmlentities 转义输出，确保安全。如果是5.0版本的话，你可以自定义一个xss过滤函数，在模板文件中对一些关键内容变量进行函数处理。

CSRF

CSRF 跨站请求伪造是 Web 应用中最常见的安全威胁之一，攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。

开启表单令牌验证，尽量开启强制路由并严格规范每个URL请求，定义单独的MISS路由规则。

遵循请求类型的使用规范并做好权限验证，删除操作必须使用DELETE请求，数据更改操作必须使用POST、PUT 或者 PATCH 请求方法，GET请求不应该更改任何数据。

会话劫持

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。

有效的防护策略包括：

在每次会话启动的时候，调用regenerate方法。

Session::start();
Session::regenerate(true);

更改session配置参数，开启安全选项：

'use_trans_sid' => 0,
'httponly' => true,
'secure' => true,

升级到安全版本

官方会对一些安全隐患和潜在漏洞进行修复，并且发布一个更为安全的版本。请确认你升级到更安全的版本，确保底层的安全和健壮性。

目前各个版本的建议版本如下：

业务逻辑安全

这个属于应用层面的安全，很多漏洞源于某个业务逻辑自身的安全隐患，包括没有做合理的数据验证和权限检查，尤其是涉及资金及财务层面的，一定要做更多的安全检查，并且开启事务。一个好的建议是更多的对应用进行分层设计，减少每层的复杂性，独立的分层设计便于提高安全性。

服务器安全

最后一点是运维阶段需要特别注意的，及时更新服务器的安全补丁，确保没有可利用的公开系统漏洞，包括你的数据库系统安（尤其是数据备份工作）。

PHP中文网，有大量免费的ThinkPHP入门教程，欢迎大家学习！

本文转自：https://blog.thinkphp.cn/789333

위 내용은 ThinkPHP에 대한 보안 고려사항의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!