tp5index.php kegagalan tersembunyi-masalah PHP-php.cn

tp5index.php kegagalan tersembunyi

PHPz

Lepaskan： 2023-05-23 09:06:37

asal

429 orang telah melayarinya

Baru-baru ini, beberapa pembangun laman web telah menemui masalah - dalam tapak web yang dibangunkan menggunakan rangka kerja TP5, langkah perlindungan untuk menyembunyikan fail dalam tp5index.php telah gagal. Dalam artikel ini, kami akan meneroka sebab di sebalik isu ini dan cara membetulkan kerentanan ini.

Pertama, kita perlu faham apa itu tp5index.php. tp5index.php ialah fail kemasukan lalai bagi rangka kerja TP5 Fail ini boleh diakses terus ke direktori akar tapak web melalui URL tanpa sebarang pemprosesan. Ini membawa kemudahan yang besar kepada penggodam Jika fail itu wujud, direktori akar tapak web boleh didapati dengan mudah melalui fail ini, yang membolehkan untuk melancarkan serangan berikutnya.

Untuk mengelakkan serangan seperti ini, pembangun TP5 datang dengan cara untuk menyembunyikan fail tp5index.php. Operasi khusus adalah seperti berikut:

1 Salin fail tp5index.php dan namakan semula index.php

2. Tambahkan kod berikut pada fail index.php yang baru disalin:

<?php
//定义变量以便于跳转时识别
define('APP_DEBUG', false);
define('APP_PATH', './application/');
//隐藏tp5index.php
define('BUILD_DIR_SECURE', true);
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';

Salin selepas log masuk

3 Padamkan fail tp5index.php asal

Dengan cara ini, penggodam tidak akan dapat mengakses fail tp5index.php melalui URL, dan tidak akan dapat mendapatkan direktori akar laluan laman web, yang akan mengurangkan keselamatan laman web mendapat meningkat.

Namun, baru-baru ini, beberapa pembangun mendapati bahawa walaupun tp5index.php disembunyikan, penggodam masih boleh mengakses fail tp5index.php yang tersembunyi melalui URL. kenapa ni?

Malah, masalah ini terletak pada konfigurasi Nginx akan memproses semua fail dengan .php sebagai akhiran secara lalai, jadi walaupun fail tp5index.php disembunyikan, ia akan dikenali dan diproses oleh Nginx. . Untuk menyelesaikan masalah ini, kita perlu menambah kod berikut pada fail konfigurasi Nginx:

location ~ .php$ {
    if ($request_uri ~* "tp5index.php") {
        return 404;
    }
    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include        fastcgi_params;
}

Salin selepas log masuk

Maksud kod di atas ialah: apabila URL yang diminta mengandungi tp5index.php, kembalikan terus status 404; jika tidak, ikuti proses pemprosesan PHP biasa.

Melalui operasi di atas, anda boleh membetulkan masalah kegagalan tersembunyi tp5index.php yang disebabkan oleh konfigurasi Nginx, dengan itu meningkatkan lagi keselamatan tapak web.

Ringkasnya, untuk tapak web, melindungi keselamatannya sendiri adalah penting. Mengenai masalah kegagalan tersembunyi tp5index.php, kami perlu menyelidiki lebih mendalam sifat masalah tersebut dan mencari penyelesaian yang paling sesuai untuk laman web kami, untuk melindungi data dan privasi pengguna.

Atas ialah kandungan terperinci tp5index.php kegagalan tersembunyi. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!