Thinkphp项目 安全配置加固


这里主要是防御Thinkphp被挂马
大家都知道Thinkphp
大部分项目都只有一个入口文件就是当前项目的
public/index.php
文件
,
然后
tp
的操作都是通过伪静态传入
index.php

,

果伪静态的配置和下面的一样的话
,
可以使用我们推荐的防御方法
,
来进行防御


图片2.png (26.5 KB, 下载次数: 28)

下载附件

2020-7-8 11:38 上传

在网站的配置文件中添加如下配置
这里简单的说一下配置就是只有在访问index.php
的时候就进行解析
php
文件
,
然后访问其他
php
后缀的话就拒绝访问

  1. 在网站的配置文件中添加如下配置
  2. 这里简单的说一下配置就是只有在访问index.php的时候就进行解析php文件,然后访问其他php后缀的话就拒绝访问
  3.     location ~ ^/index.php{
  4.       #PHP-INFO-START  PHP引用配置,可以注释或修改
  5.       include enable-php-70.conf;
  6.       #PHP-INFO-END
  7.     }
  8.     location ~* .(php){
  9.               deny all;
  10. }

复制代码


图片3.png (51.8 KB, 下载次数: 30)

下载附件

2020-7-8 11:39 上传

可以看到后添加后对网站没有什么影响

图片4.png (520.06 KB, 下载次数: 34)

下载附件

2020-7-8 11:40 上传

先添加一个后门


图片5.png (31.74 KB, 下载次数: 35)

下载附件

2020-7-8 11:40 上传

我这里删掉配置是可以正常访问的

图片6.png (95.6 KB, 下载次数: 26)

下载附件

2020-7-8 11:41 上传


开启刚刚的配置,
已经被拒绝访问了
,
这里就起到了一个防止被挂马的用途

图片7.png (9.88 KB, 下载次数: 29)

下载附件

2020-7-8 11:41 上传


转自   https://www.bt.cn/bbs/forum.php?mod=viewthread&tid=52183&extra=page%3D6%26filter%3Dtypeid%26typeid%3D10