用Rewrite增强ThinkPHP框架中应用程序的安全性

最新推荐文章于 2021-05-21 09:27:56 发布
最新推荐文章于 2021-05-21 09:27:56 发布
阅读量118 收藏
点赞数
分类专栏: PHP 文章标签: 框架 应用服务器 PHP Apache HTML


  用了ThinkPHP框架一段时间后,感觉这是一个挺爽的PHP框架,用着舒服,但了解深入一点之后,感觉在安全性方面还有一点事情要做做。

 

  对于ThinkPHP框架,他有固定的文件目录和一些固定的文件名称,所以,对于一个应用,有很多文件名称和目录是可以猜测出来的,这样我们就可以通过该文件的URL直接访问,绕过了ThinkPHP框架的访问模式,特别是在Tpl目录和Lib目录,这两个地方都是关键地方,如何才能阻止直接对这几个目录进行访问呢?我用到的方法是Apache服务器的Rewrite。

 

  首先,在http.conf配置文件中启用和配置好Rewrite模块。在该文件中增加如下配置信息:

 

  (1)LoadModule rewrite_module Modules/mod_rewrite.so

 

  (2)注意<Directory />配置字段中的AllowOverride和Options,我配置的如下:
  <Directory />
    AllowOverride FileInfo
    Options FollowSymLinks
    Order allow,deny
    Allow from all
  </Directory>

 

  然后,在Lib目录新建一个.htaccess的文件,内容如下:
  RewriteEngine on
  RewriteRule ^(.*)$ /index.php
  将对该目录的所有访问转到项目的启动文件上,从而屏蔽掉对该目录的访问。

 

  对于Tpl目录设置有点不同,因为该目录还存放其他文件,比如图片文件(*.jpg)等,而我们要阻止的仅仅是html文件的访问,所有在default目录下新建的.htaccess文件中的内容如下:
  RewriteEngine on
  RewriteRule ^(.*\.html)$ \index.php [NC]
  将对该目录下所有html文件的访问转到项目的启动文件上,对于其他文件不变。

 

  上面只是我的一些测试方法,对于这两个目录的安全性是不是真有问题,也还得进一步验证,权且当作是对Rewrite的一次练习吧。

下半年,我打算在搞十几个基于thinkphp框架的网站主题模板
极客小寨的博客
07-01 1708
首个thinkphp主题网站 大家好,我是独立开发者东东,如今在web方面,每个人都希望能拥有自己的个人博客或者社区也或者是供大家讨论的论坛系统.今天你们再也不用为拥有这些系统发愁找不到简洁大方的前端展示啦.因为今天我终于打算开发各种网站主题模板供大家学习与使用! 以前我一直用的那个(wordpress) 功能完整但是用起来感觉复杂不好操作,于是 google了N下,结果没有找到一款合适...
使用composer安装使用thinkphp6.0框架问题【视频教程】
10-16
本知识点主要围绕如何使用composer安装thinkphp6.0框架以及遇到的问题解决方法进行详细讲述,分为以下几部分: 1. 安装Composer Composer是PHP的依赖管理工具,可以方便地管理和下载所需的库文件。在安装thinkphp...
server多笔记录拼接字符串 sql_代码审计 | ThinkPHP5漏洞分析之SQL注入(五)
weixin_42360967的博客
01-01 202
本系列文章将针对 ThinkPHP 的历史漏洞进行分析,今后爆出的所有 ThinkPHP 漏洞分析,也将更新于 ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln) 项目上。本篇文章,将分析 ThinkPHP 中存在的 SQL注入漏洞 ( orderby 方法注入)。漏洞概要本次漏洞存在于 Builder 类的 parseOrde...
解决TP5项目被恶意篡改、注入代码问题
sunsineq的专栏
05-21 3454
解决TP5项目被恶意篡改、注入代码问题 首先,谈谈这个曲折的经历! 第一次,被人用eval()函数注入了文件,发现后,我就禁了这些PHP高危险函数! 第二次,就是被人在入口文件中注入了代码,在public文件夹中,多出了很多文件。然后我就修改了宝塔面板的密码,加上下面的第2步,目前暂时没有被注入了,希望能帮到大家! 如果还有更好的办法,希望不吝赐教,留下你宝贵的经验,万分感谢! 1、禁掉高危险函数:eval、phpinfo这2个函数必须禁掉! (1)...
ThinkPHP框架介绍及应用
Yeoman92的博客
11-07 7751
一.ThinkPHP介绍1.1.什么是框架  PHP框架是许多代码的集合,这些代码是程序结构的代码(并不是业务代码),代码中有许多函数、类、功能类包,框架代码按照一定标准组成了一个有机的功能体,这个功能体中有许多设计模式如MVC、单例、AR等。1.2.不使用框架开发中遇到的问题 代码编写没有统一规范 程序项目生命周期非常短,不延续 一个小地方的修改会牵扯到全局变化,牵一发动全身 不能很好地满足客户
ThinkPHP框架介绍及项目部署
weixin_43128574的博客
07-15 2222
一、介绍 1、什么是框架? •特征1:是一堆代码的集合; •特征2:一个半成品的应用; •特征3:包含了一些优秀的设计模式; 定义:框架是一堆包含了常量、方法和类等代码的集合,它是一个半成品的应用,只包含了一些项目开发的时候所使用的底层架构,并不包含业务逻辑,框架还包含了一些优秀设计模式,如单例模式、工厂模式、AR(Active Record)模式等。 2、为什么要使用框架? 在以后实际开发的时候...
采用ThinkPHP3.2.3框架开发网站快速入门
易名
10-22 6022
开发环境 [x] WampServer Version 2.4 [x] ThinkPhp3.2.3 项目目录结构说明www WEB部署目录(或者子目录) ├─index.php 前台应用入口文件 ├─admin.php 后台应用入口文件 ├─README.md README文件 ├─Application 默认应用目录(可以设置名字) │ ├─Comm
ThinkPHP框架知识(比较全的知识)
diao45615的博客
03-08 211
php框架 一、真实项目开发步骤: 多人同时开发项目,协作开发项目、分工合理、效率有提高(代码风格不一样、分工不好) 测试阶段 上线运行 对项目进行维护、修改、升级(单个人维护项目,十分困难,代码风格不一样) 项目稳定的运行阶段 项目停止运行(旧项目的人员已经全部离职,新人开发新项目) 二、问题: 1. 多人开发项目,分工不合理,(html php...
ThinkPHP框架知识
weixin_30608131的博客
07-05 97
php框架 一、真实项目开发步骤: 多人同时开发项目,协作开发项目、分工合理、效率有提高(代码风格不一样、分工不好) 测试阶段 上线运行 对项目进行维护、修改、升级(单个人维护项目,十分困难,代码风格不一样) 项目稳定的运行阶段 项目停止运行(旧项目的人员已经全部离职,新人开发新项目) 二、问题: 1. 多人开发项目,分工不合理,(html php my...
ThinkPHP框架基础
weixin_30516243的博客
07-30 215
ThinkPHP 一.php框架基础介绍 真实项目开发步骤: 多人同时开发项目,协作开发项目、分工合理、效率有提高(代码风格不一样、分工不好) 测试阶段 上线运行 对项目进行维护、修改、升级(单个人维护项目,十分困难,代码风格不一样) 项目稳定的运行阶段 项目停止运行(旧项目的人员已经全部离职,新人开发新项目) 问题: 1. 多人开发项目,分工不合理,(html...
ThinkPHP框架里隐藏index.php
10-22
在使用ThinkPHP框架进行项目开发时,常常需要隐藏项目的入口文件index.php以提高安全性,避免潜在的安全漏洞,并且让URL看起来更加友好。隐藏index.php的步骤涉及到对Web服务器进行配置,以支持URL重写技术,使得...
thinkphp+mysql中英文伪静态企业网站、完整无BUG源码
04-01
【标题】"thinkphp+mysql中英文伪静态企业网站、完整无BUG源码"涉及到的主要技术包括ThinkPHP框架、MySQL数据库以及伪静态技术,这些在构建一个高效、稳定且易于SEO优化的企业级网站中扮演着关键角色。 ThinkPHP是...
thinkPHP框架对接支付宝即时到账接口回调操作示例
10-21
thinkPHP框架作为一款流行的PHP开发框架,广泛应用于Web应用的开发之中。在涉及在线支付系统开发时,对接第三方支付接口是常见的需求,其中支付宝作为国内主要的第三方支付平台之一,其即时到账接口的对接和回调操作...
基于ATP的配电网单相接地电弧模型及其仿真分析研究
05-11
内容概要:本文探讨了基于ATP(Auto Transient Program)的配电网单相接地电弧模型及其仿真分析。随着电力系统的发展,配电网单相接地故障频发,严重影响电力系统的安全稳定运行。文中介绍了ATP在电弧建模中的应用,结合ATP与EMTP(Electro-Magnetic Transient Program),实现了对电弧的详细建模和仿真分析。研究重点在于电弧的电阻、电感、电容等电气参数,以及电弧的动态特性和热特性。通过仿真分析,揭示了电弧对配电网运行的影响规律,为故障诊断和保护提供了重要依据。 适合人群:从事电力系统研究、维护和管理的专业技术人员,尤其是关注配电网安全稳定的工程师。 使用场景及目标:适用于电力系统的研究机构、高校实验室、电力公司等单位,在进行配电网故障分析、保护装置优化等方面的应用。目标是提升电力系统的安全稳定运行水平。 其他说明:本文不仅提供了理论分析,还通过实际仿真验证了模型的有效性,对未来进一步完善和应用电弧模型提出了展望。
MATLAB中基于Zernike多项式的湍流相位屏生成方法及其应用
最新发布
05-11
内容概要:本文详细介绍了如何使用MATLAB生成基于Zernike多项式的湍流相位屏。首先解释了相位屏生成的重要性和应用场景,特别是在自适应光学和激光传输仿真中的关键作用。接着展示了核心代码框架,包括参数设置、Zernike模式生成以及系数计算的具体步骤。文中还提到了一些优化技巧,如提前计算极坐标变量以提升速度,以及处理模式归一化的问题。最后给出了完整的调用示例,并简述了可能的改进方向。 适合人群:从事光学仿真研究的技术人员,尤其是那些对自适应光学和激光传输仿真感兴趣的科研工作者。 使用场景及目标:适用于需要模拟大气湍流效应的研究项目,帮助研究人员更好地理解和预测光波在大气中的传播特性。 其他说明:文中提供的代码可以直接用于实验验证,同时提醒读者注意不同文献中关于Zernike多项式归一化的差异,确保正确实现。
amqp-client-5.1.2.jar中文文档.zip
05-11
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
jersey-servlet-1.19.jar中文文档.zip
05-11
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
flink-queryable-state-client-java_2.11-1.7.1.jar中文文档.zip
05-11
# 压缩文件中包含: 中文文档 jar包下载地址 Maven依赖 Gradle依赖 源代码下载地址 # 本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
PCB表面缺陷检测数据集及其在YOLOv系列目标检测算法中的应用
05-11
内容概要:本文深入探讨了PCB(印制电路板)表面缺陷检测数据集的内容和意义,重点介绍了该数据集中XML标签文件的作用以及其涵盖的各种PCB板材、表面形态和尺寸分布等方面的信息。文中强调了YOLOv系列目标检测算法在处理和分析这些图像样本时的应用,展示了如何通过深度学习模型实现对PCB产品质量的全面、准确检测。此外,文章还讨论了基于现有数据集进行性能优化与改进的可能性,旨在提高检测结果的准确性与可靠性。 适合人群:从事PCB制造、质量检测及相关领域的技术人员、研究人员和学生。 使用场景及目标:① 使用YOLOv系列目标检测算法对PCB表面缺陷进行高效、精准的检测;② 利用XML标签文件解析PCB产品的各种属性信息;③ 针对不同类型的产品进行性能优化与改进,提升检测效果。 其他说明:该数据集为深度学习模型的训练提供了丰富而标准的样本,有助于推动PCB表面缺陷检测技术的发展与创新。
ThinkPHP框架中伪静态的设置与应用
在Web开发中,伪静态是一种将动态URL模拟为静态文件路径的技术,...在配置过程中,开发者需要兼顾URL的可读性、服务器的性能以及网站的安全性。通过上述的配置和注意事项,可以有效地在ThinkPHP框架内实现伪静态功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值