php后台增加权限控制和XSS

原创 已于 2025-06-30 17:19:09 修改 · 438 阅读 · 7 ·
CC 4.0 BY-SA版权
Hello,Bug
文章标签:

#php #开发语言

于 2025-06-25 16:00:11 首次发布

  • 背景
    最近在对接某大厂,部署差不多了,但是在漏洞扫描环节有问题,前端是用vue代码写的。后端是php。发现前端路由可以拦截未登录的url。但是后端php接口不用登录就能访问,很危险

  • 解决方法

一、创建 Auth 中间件
首先创建一个专门用于验证 Session 的中间件: 里面可以放开不用登录的接口

<?php
// 目录位置 app/middleware/Auth.php
namespace app\middleware;

use think\facade\Session;
use think\Response;

class Auth
{
    // 定义不需要验证的接口路径
    protected $exceptPaths = [
        'Auth/login',       // 登录接口
        'Auth/logout',    // 注册接口
        'Auth/getCode',    // 注册接口
        'Index/getTitle',    // 注册接口
        // 可添加更多无需验证的接口...
    ];
    public function handle($request, \Closure $next)
    {
        // 获取当前请求的路径(不含域名和参数)
        $path = $request->pathinfo();

        // 检查是否为排除的路径
        if ($this->shouldPassThrough($path)) {
            return $next($request); // 跳过验证,直接继续
        }
        // 检查Session中是否有登录用户信息
        if (!Session::has(SESSION_LOGIN_KEY)) {
            // 未登录,返回JSON错误响应
            return json([
                'code' => 0,
                'msg' => '请先登录',
                'data' => 401,
                'url' => null,
                'wait' => 3
            ]);
        }

        // 已登录,将用户信息注入请求对象,方便后续使用
        $request->user = Session::get(SESSION_LOGIN_KEY);

        // 继续执行后续请求处理
        return $next($request);
    }

    // 判断请求是否应跳过验证
    protected function shouldPassThrough($path)
    {
        foreach ($this->exceptPaths as $except) {
            if (strpos($path, $except) === 0) {
                return true;
            }
        }
        return false;
    }
}

二、注册中间件
有两种方式注册中间件,根据你的需求选择:

  1. 全局中间件(所有请求都验证)
    打开 目录位置app/middleware.php 文件,添加中间件:
// app/middleware.php
return [
    // 其他中间件...
    \app\middleware\Auth::class,
];
  1. 路由中间件(按需验证)
    如果你只想验证部分接口,在路由定义中使用中间件:
// app/route/route.php
use think\facade\Route;

// 应用Auth中间件到整个Video控制器组
Route::group('video', function () {
    Route::get('getIqiyiLists', 'Video/getIqiyiLists');
    Route::get('getSohuLists', 'Video/getSohuLists');
    // 其他接口...
})->middleware(\app\middleware\Auth::class);

// 或者只应用到特定接口
Route::get('video/getIqiyiLists', 'Video/getIqiyiLists')
    ->middleware(\app\middleware\Auth::class);

--------------------------------分割线------------------------------
针对ThinkPHP 3.2.x 老版本的实现
行为扩展的实现步骤

  1. 创建行为类文件
    在项目目录下创建以下文件:
/application
    /Common
        /Behavior
            - CheckLoginBehavior.php  # 行为类文件
    /Conf
        - behavior.php  # 行为配置文件
  1. 编写行为类代码
    CheckLoginBehavior.php 文件内容:
<?php
namespace Common\Behavior;
use Think\Behavior;

class CheckLoginBehavior extends Behavior {
    public function run(&$params) {
        // 检查是否登录
        if(empty(session(SESSION_LOGIN_KEY))) {
            // 获取当前请求的控制器和操作
            $controller = CONTROLLER_NAME;
            $action = ACTION_NAME;
            
            // 定义白名单(无需登录即可访问的控制器/操作)
            $whiteList = [
                'Auth/login',
                'Auth/logout',
                'User/login',
                'User/logout',
                'User/getCode'
            ];
            
            // 检查当前请求是否在白名单中
            $currentUrl = "$controller/$action";
            if(!in_array($currentUrl, $whiteList)) {
                // 设置响应头为JSON格式
                header('Content-Type:application/json;charset=utf-8');
                
                // 输出统一的错误响应
                exit(json_encode([
                    'code' => 401,
                    'msg' => '未登录,请先登录',
                    'data' => null
                ]));
            }
        }
    }
}
  1. 配置行为扩展
    在 application/Conf/behavior.php 中添加以下内容:
<?php
// 行为扩展配置
return [
    // 在应用结束时执行登录检查
    'app_end' => ['Common\\Behavior\\CheckLoginBehavior']
];

行为扩展增加XSS
也是在行为扩展里面增加的

<?php
// application/Behavior/XssCheckBehavior.php
namespace Behavior;
use Think\Behavior;

class XssCheckBehavior extends Behavior {
    
    // 行为执行入口
    public function run(&$params) {
        // 只对POST请求进行XSS检测
        if ($_SERVER['REQUEST_METHOD'] === 'POST') {
            // 获取原始请求数据
            $rawData = file_get_contents('php://input');
            
            // 强制解析JSON数据(无论Content-Type如何)
            $postData = json_decode($rawData, true);
            
            // 检查JSON解析是否成功
            if (json_last_error() !== JSON_ERROR_NONE || empty($postData)) {
                // JSON解析失败,尝试从$_POST获取
                $postData = $_POST;
                
                // 如果$_POST也为空,使用原始数据
                if (empty($postData)) {
                    $postData = ['raw_data' => $rawData];
                }
            }
            
            // 检查数据
            if (!empty($postData) && !$this->checkPostData($postData)) {
                $this->returnError();
            }
        }
    }
    
    // 检查POST数据
    private function checkPostData($data, $parentKey = '') {
        foreach ($data as $key => $value) {
            $fullKey = $parentKey ? "{$parentKey}[{$key}]" : $key;
            
            if (is_array($value)) {
                // 递归检查数组
                if (!$this->checkPostData($value, $fullKey)) {
                    return false;
                }
            } else {
                // 检查字符串值
                if ($this->containsXss($value)) {
                    \Think\Log::record("XSS检测到风险: {$fullKey} => {$value}", 'ERR');
                    return false;
                }
            }
        }
        
        return true;
    }
    
    // 检测是否包含XSS风险
    private function containsXss($str) {
        // 空值不检测
        if (empty($str)) {
            return false;
        }
        
        // 检测常见的XSS模式
        $patterns = [
            '/<script/i',                  // 直接的script标签
            '/<[^>]*on\w+ *=/i',           // 事件处理函数
            '/javascript:/i',              // javascript协议
            '/vbscript:/i',                // vbscript协议
            '/<iframe/i',                  // iframe标签
            '/<style/i',                   // style标签
            '/<meta/i',                    // meta标签
            '/<link/i',                    // link标签
            '/data:text\/html/i',          // data URI
            '/<svg/i',                     // SVG注入
            '/&#[xX]?[0-9a-fA-F]+;/i',     // HTML实体编码
        ];
        
        foreach ($patterns as $pattern) {
            if (preg_match($pattern, $str)) {
                return true;
            }
        }
        
        return false;
    }
    
    // 返回错误信息
    private function returnError() {
        if (IS_AJAX) {
            // AJAX请求返回JSON错误
            $result = [
                'status' => 0,
                'info' => '提交内容包含不安全字符,请检查!'
            ];
            exit(json_encode($result));
        } else {
            // 普通请求跳转
            $this->error('提交内容包含不安全字符,请检查!');
        }
    }
}
  • 总结
    大概就是这样玩的。ThinkPHP 的中间件机制还是挺不错。后续你还可以加入权限的控制之类的。如果发现博文有问题,欢迎老鸟指点一二
PHP权限控制设计
wgchen
04-14 629
权限模型介绍 其中ABACPBAC在互联网场景中很少使用,ACL是直接关系,RBAC是间接关系; ACL设计图 ACL RBAC 区别 理解两个概念:用户资源,让指定的用户,只能操作指定的资源(CRUD)。 ACL: Access Control List 访问控制列表 以前盛行的一种权限设计,它的核心在于用户直接权限挂钩 优点:简单易用,开发便捷 缺点:用户权限直接挂钩,导致在授予时的复杂性,比较分散,不便于管理 例子:常见的文件系统权限设计, 直接给用户加权限 RBAC: Role B
WEB攻防-通用漏洞_XSS跨站_权限维持_捆绑钓鱼_浏览器漏洞
weixin_45534587的博客
01-14 1227
构造代码: 把代码放在自己网站上,比如,我的博客上(或者本地网站上)的test.html,只要对方访问192.168.199.1:8081/web/test.html,在beef就可以看到对方上线,② 模仿flash下载官方地址(https://www.flash.cn/ )做出本地页面:http://127.0.0.1:8081/ (构造一个相似域名的网址,更逼真)
php实现权限管理
11-08
仅供学习参考,可能存在某些bug
php登录权限控制
11-14
实现后台登录的权限设置 登录后才能实现真正的跳转 未登录不允许跳转
位运算设置权限
dianqianpang2137的博客
11-05 283
PHP: 我这里说到的权限管理办法是一个普遍采用的方法,主要是使用到"位运行符"操作,& 位与运算符、| 位或运行符。参与运算的如果是10进制数,则会被转换至2进制数参与运算,然后计算结果会再转换为10进制数输出。 它的权限值是这样的2^0=1,相应2进数为"0001"(在这里^我表示成"次方",即:2的0次方,下同)2^1=2,相应2进数为"0010"2^2=4,相应2进...
php权限管理,php权限管理
weixin_30967451的博客
03-09 2239
1. PHP 后台管理权限方法的步骤:1、在管理员的数据库表中建立一个字段,是判断权限的,一般为123456不断往上加的,1代表超级管理员的,2代表低一级的,这样不断乡下延伸,你想设置集中权限就是几种权限的。2、做一个HTML页面,是数字代码的设置权限的。当然数据库也需要建立一个表b的。相当于一个表单的,你选勾,则改字段名(权限,比如上传图片功能)的值为1。不勾,则默认为0,也就是没有该权限...
基于yii2框架的一个博客系统后台rbac权限控制包含打赏功能vip用户功能.zip
11-24
基于Yii2框架的博客系统后台是一个功能丰富、安全性高的网络应用平台,它不仅提供了基本的博客发布功能,还集成了权限控制、打赏功能VIP用户服务等高级特性,满足了现代网络平台的需求。开发者在使用该项目时,...
PHP网站后台角色权限管理系统源码.zip
06-24
这个"PHP网站后台角色权限管理系统源码.zip"文件提供了一个完整的解决方案,帮助开发者快速搭建具有权限控制功能的后台系统。让我们深入探讨一下这个系统的核心知识点。 1. **PHP编程语言**:PHP是一种广泛使用的...
毕业设计-PHP网站后台角色权限管理系统源码-整站商业源码.zip
最新发布
05-12
这套PHP网站后台角色权限管理系统源码不仅能够为网站提供强大的后台管理功能,还能够作为学习实践PHP编程的优秀素材。开发者通过学习使用这套源码,能够掌握如何构建一个高效、安全且易于扩展的网站后台管理系统...
基于PHP的网站后台角色权限管理系统源码.zip
08-28
【描述】该系统的核心功能包括角色管理、权限控制、菜单构建用户授权。角色管理允许管理员定义多种角色,如超级管理员、编辑、作者等,每个角色具有不同的操作权限。权限控制是系统的关键部分,它允许精确地设定...
后端常用开发功能-PHP权限管理
09-07
基于PHP框架ThinkPHP写的一个简易PHP权限管理系统,适合一些入门PHP不久的小伙伴来学习,当然,下载之后运行出现任何不懂的地方,可联系QQ1397271501,我能讲解的就给你解答,不能的话我们可以一起讨论!
php简单权限管理系统
06-27
总目标:做一个“权限管理系统”。 一、模糊功能要求: 1)有数据库的增、删、改、查操作。 2)能够上传头像。(上传到数据库或本地;若上传到本地,数据库中应记录其位置) 3)有Cookie的应用。 4)能分页显示数据。 二、界面要求 1)有登陆界面;管理员登陆或普通用户登陆; 2)在管理员界面中,可以对所有用户信息进行操作。 3)在普通用户界面中,只能对本人信息进行相关操作。
php权限系统
09-06
php权限系统
php权限管理系统
06-20
根据权限管理系统流程图可得到系统功能呢如下: (1) 游客注册功能:游客可以通过注册成为会员,从而进入系统。 (2) 普通用户功能:在前台界面中,只要注册成功的普通用户就可以进行会员的相关操作。 (3) 管理员管理功能:在前台模式下,管理员可输入密码进入后台管理界面,在其中可对会员的相关信息进行管理,其中包括删除会员、推荐会员为优秀会员提升普通用户为管理员。
PHP权限分配管理框架系统
12-12
自己写的PHP web系统首页框架。完成的有权限分配,部门管理,角色管理,控制DHCP分配与绑定(写死dhpc 段IP了),局域网域登录ldap读取(写死域名了),首页有读取另一系統ZABBIX中數據的功能流量圖显示,請自行清除這個功能因为你没有ZABBIX系统,简单的宿舍管理功能。除左边手风琴中系统大类在数据库手动增加外,其它均可通过系统增删改。larave+easyui 主路径:app\Http\Controllers\Admin\login方法 请自行配置APACHE重写 VHOST等配置
使用PHP实现用户权限控制系统
Y-starrydreamer的博客
11-24 1389
通过本项目,我们成功实现了一个用户权限控制系统,包括用户管理、权限管理访问控制。该系统为Web应用程序提供了必要的安全性灵活性。
PHP实现动态权限控制系统(基于角色资源)
12-07 607
PHP实现动态权限控制系统(基于角色资源)
php 做权限管理
01-09 1456
php开发中常常用到的权限管理系统 <?php class Test{ //假设有权限管理系统。共有4种权限 private $power = array( "P1", "P2", "P3", "P4", ); //获取用户权限的int值 public function getPowerInt($user){ $res = 0; foreach($this->power as $k => $v){ if(in_array($v,$user)){ $res |
php 实现 简单的权限管理
sanshi0815的专栏
10-11 2784
/*权限设计有一个全局的管理员root每个栏目有个管理员权限为其他权限的合每单个权限为2的倍数list/read 1add       2edit      2del       4all       admin*/if( 5&2){ echo 1;}else{ echo 0;}/*简单的权限管理,有这个基本就够用了, 不做更复杂的了,功能设计上不用考虑权限,编码的遵循一些规范,在顶层类里,加个适
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Hello Bug

谢谢老板,老板大气,老板硬邦邦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值