安全相关-海豚PHP1.0.6完全开发手册-基于ThinkPHP5.0.10的快速开发框架

牛骨文教育服务平台(让学习变的简单)

牛骨文首页

: 序言; 环境搭建; 下载及安装; 目录结构; 快速构建器（ZBuilder）; 表单（form）; 设置页面标题; 设置页提示信息; 设置表单提交地址; 隐藏按钮; 添加按钮; 设置按钮标题; 添加表单项; 复选; 单选; 日期; 时间; 开关; 标签; 数组; 分组; 范围; 按钮; 数字框; 密码框; 取色器; 下拉菜单; 普通联动; 快速联动; 拖拽排序; 静态文本; 格式文本; 日期时间; 日期范围; 图片裁剪; 百度地图; 单文件上传; 多文件上传; 单图片上传; 多图片上传; 隐藏表单项; 图标选择器; 单行文本框; 多行文本框; 百度编辑器; CKEditor编辑器; wang编辑器; markdown编辑器; summernote编辑器; 添加表单项通用方法; 自定义表单项(1.0.6+); 直接设置表单项; 表单布局; 设置Tab按钮列表; 设置表单数据; 引入js文件; 引入css文件; 设置额外JS代码; 设置额外CSS样式; 设置额外HTML代码; 是否ajax方式提交; 设置模版路径; 设置触发器; 设置表单提交确认框; 设置表单提交方式(1.0.6+); 模板变量赋值(1.0.7+); 设置页面空表单项提示(1.0.7+); 表格（table）; 设置页面标题; 设置页面提示信息; 添加一列; 字段类型; switch; status; yesno; text.edit; textarea.edit; password; email; url; tel; number; icon; byte; date; time; datetime; date.edit; time.edit; datetime.edit; picture; pictures; select; callback; link; text; img_url; 添加多列; 添加数量索引; 添加快捷编辑的验证器; 设置表格数据; 隐藏第一列多选框; 添加表头排序; 添加表头筛选; 添加表头筛选条件; 添加时间段筛选; 添加一个右侧按钮; 添加多个右侧按钮; 添加一个顶部按钮; 添加多个顶部按钮; 自动添加按钮; 自动编辑按钮; 替换右侧按钮; 设置搜索参数; 设置数据库表名; 设置插件名称; 设置表格主键; 设置Tab按钮列表; 设置分页; 去除分页; 引入js文件; 引入css文件; 设置额外JS代码; 设置额外CSS样式; 设置额外HTML代码; 设置模版路径; 添加行class名; 添加顶部下拉筛选; 设置页面空数据提示(1.0.7+); 模板变量赋值(1.0.7+); 设置使用原始数据字段(1.0.8+); 侧栏（aside）; 添加区块; 设置Tab按钮列表; 追加Tab按钮列表; 设置当前tab; 设置单个tab内容; 设置多个tab内容; 追加tab内容; 覆盖侧栏; 模块开发; 创建模块信息文件; 安装模块; 模块配置; 控制器; 创建菜单节点; 第一个控制器; 模块参数配置页面; 方法参考; 插件开发; 插件入口文件; 插件基本信息; 管理界面的字段信息; 新增或编辑的字段信息; 插件钩子; 触发器; 原数据库表前缀; 插件配置信息; 安装和卸载Sql文件; 控制器; 模型; 验证器; 视图; 方法参考; 变量参考; 函数参考; 安全相关; 其他杂项; 更新日志; 升级指导; 常见问题; 贡献名单; 关于文档

永远不要相信用户提交的数据！

安全开发指导

参考ThinkPHP官方安全指导
过滤用户输入的内容，DolphinPHP从1.0.5版本开始提供了html安全过滤方法htmlpurifier()
比如：$html = htmlpurifier(request()->post("content"))
或者：$html = request()->post("content", "", "htmlpurifier")
也可以加在TP的默认过滤规则，如何设置默认过滤规则请参考ThinkPHP官方文档

前端过滤可以使用filterXSS()

<script>
// apply function filterXSS in the same way
var html = filterXSS("<script>alert("xss");</scr" + "ipt>");
alert(html);
</script>

更多用法，请参考：https://github.com/leizongmin/js-xss/blob/master/README.zh.md

以上方法仅作为安全辅助，没有一劳永逸的方法可以防止所有攻击。要做好数据检查，选用合适的过滤方法。

禁止访问敏感目录

由于框架将入口文件从public移动到了应用目录，使一些不该被访问的目录也暴露了出来。如果将入口文件移动到public目录，需要改动的地方比较多，所以不建议这样做。

为了安全考虑，可以将一些敏感目录设置为禁止访问。

【Nginx】

在Nginx配置文件中，加入以下规则

    location ^~ /data {
    	deny all;
    }
    location ^~ /runtime {
    	deny all;
    }
    location ^~ /export {
    	deny all;
    }
    location ^~ /application {
    	deny all;
    }
    location ^~ /plugins {
    	deny all;
    }
    location ^~ /thinkphp {
    	deny all;
    }
    location ^~ /vendor {
    	deny all;
    }

【Apache】

在框架根目录的.htaccess文件加入以下规则

  RewriteRule ^data - [F,L]
  RewriteRule ^runtime - [F,L]
  RewriteRule ^export - [F,L]
  RewriteRule ^application - [F,L]
  RewriteRule ^plugins - [F,L]
  RewriteRule ^thinkphp - [F,L]
  RewriteRule ^vendor - [F,L]

完整内容

<IfModule mod_rewrite.c>
  Options +FollowSymlinks -Multiviews
  RewriteEngine On

  RewriteCond %{REQUEST_FILENAME} !-d
  RewriteCond %{REQUEST_FILENAME} !-f
  RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]

  RewriteRule ^data - [F,L]
  RewriteRule ^runtime - [F,L]
  RewriteRule ^export - [F,L]
  RewriteRule ^application - [F,L]
  RewriteRule ^plugins - [F,L]
  RewriteRule ^thinkphp - [F,L]
  RewriteRule ^vendor - [F,L]
</IfModule>

copyright © 2008-2019 亿联网络版权所有备案号：粤ICP备14031511号-2