ThinkPHP（TP）如何做安全加固，防webshell、防篡改、防劫持、TP漏洞防护

ThinkPHP是一款非常知名的PHP框架，很多知名CMS系统都是采用TP框架进行二次开发而来，当然ThinkPHP本身也可以直接建站，开源免费、功能强大，深受广大用户喜欢。

虽然ThinkPHP非常优秀，但是为了保障网站安全，我们还是需要做一些必要的防护措施，提升ThinkPHP的安全性。

今天我们就来聊聊有哪些防护方法！

一、 对文件做篡改防护

要防止入侵，防篡改是必不可少的。对文件做篡改防护有两种方法：1、通过ACL策略实现   2、使用底层驱动实现

1、 通过ACL策略防护

防护思路：设置全站都只有读取权限；再对部分必须目录开放写权限，并限制这些目录禁止执行动态脚本。

ThinkPHP需要开放写权限的目录有：/runtime/、/uploads/

注意：这2个目录务必禁止执行PHP脚本。

这样设置以后，黑客就只能往这2个目录写入文件了，由于限制了禁止执行PHP脚本，即使黑客上传了webshell，也无法运行。

此方法设置较为复杂，需要有很强的专业技术。另外局限性也较多，例如需要对所有文件做防篡改，不能只对PHP文件做防篡改。如果网站需要生成HTML静态文件，就无法使用此方法部署防护。

2、 使用底层驱动防护

使用操作系统底层驱动技术进行防篡改拦截，即通过防篡改软件进行防护。不同软件设置方法不同，推荐使用《护卫神.防入侵系统》，因为其内置ThinkPHP防篡改规则，非常简单的操作就可以开启强大的防篡改功能（如下图一），同时没有副作用。