【前言】

ThinkPHP MVC框架越來被開發者接受,衆多的開發者選擇了這個框架，也有很多的優秀項目使用的ThinkPHP框架。最近整理了一下ThinkPHP項目的一些安全配置。可能并不适用全部項目，大家可以适當的使用如下的安全配置。

【正文】

随着利用ThinkPHP框架的産品猶如雨中蘆筍一般，不斷的發展和壯大，但基于ThinkPHP的産品也有一大把，這裡我就不過多的講述，大家可以自行百度。那麼系統的安全也就随之而來，例如我們常說的：一句話木馬、WEBshell等等，今天笨小豬就給大家透露一個通過簡單的又很便捷的基礎性防禦，同時從根源上杜絕我們的runtime（ThinkPHP中的運行時）、application（應用配置文件）從而禁止下載文件，我們先看下下面的真實案例：

【案例】

【提示】本文的案例隻是警示那些不注重安全的人，但不乏有一些居心的人進行非法獲取相關數據，本次基礎性防禦就是針對這類似問題，并非教大家如何去犯罪。

【場景還原】

我們都知道runtime下的log（日志文件）生成的規則都是在runtime/log/下，同時是以當前日期生成文件（例如：/runtime/log/202007/27.log），然後以當前日期生成（**.log，**代表當前月份下的日）文件（詳見如下圖）

注意，特别注意，這些日志都是可以通過下載器進行下載的，那麼下載出來的日志文件有哪些呢？我們可以将下載出來。

我們将下載出來日志我們進行常規性的搜索，例如某些網站默認使用的依舊是admin，那麼我們可以通過搜索admin，可以索引到對應的字眼，上圖僅僅是一個參考，同時裡面有對應的賬号和密碼（這裡的賬号和密碼都是可以進行登錄的，同時這裡的MD5大家可以去進行校驗[提示]前提知曉後台路徑，當然，後台路徑也都是可以在日志中分析出來）那麼如何将後台分析出來呢？我們繼續往下看，我們可以通過最常規的手段進行索引，例如我們常見的就是login或者admin，那麼我們可以進行以login或admin進行篩選，結果如下：

上圖就是我們從日志中獲取到後台網址，可以從浏覽器中打開并輸入日志中的賬号和密碼予以驗證，那麼我們如何防禦他？跟着笨小豬往下操作。

【代碼防禦一】

代碼防禦僅僅是修改對應的文件，那麼我們隻需要修改系統中的application/config..php中（注意:不同産品位置不同，這裡以Niushop為例，其他産品請以實際産品為準），找到log，将file改為test，将讓他不再生成日志文件（詳見下圖），但是徹底關閉也是不可行的，譬如開發者需要用得上日志，那麼我們該如何禁止呢？我們可以看看防禦二。

【安全防禦二】

我們可以通過NGINX對應的規則将文件攔截拒之門外，讓外面得人無法進行下載對應的文件，那麼我們該如何控制呢？我們可以在寶塔僞靜态或者配置文件添加以下代碼：

#禁止訪問的文件或目錄

location ~ ^/(runtime/|application/)

{

return 404;#此處是返回報錯頁面，可以是444

}

添加上面的代碼之後，他的含義就是禁止訪問runtime、application文件并返回404錯誤，同時無法進行使用下載器下載我們的日志，我們可以試下具體效果：

通過上面的簡單的部署，防禦二可以利于開發者分析數據，同時也杜絕了外面的人下載我們的日志，這也做到了我們日志文件的安全。這僅僅是最基礎的安全防禦，往後我們還要進行防篡改之類的安全部署。好了，文章就寫到這裡了，謝謝大家花時間閱讀，感謝大家關注笨小豬我哦

【原創聲明】本文章是由笨小豬原創且配合Niushop編寫，未經作者許可，禁止任何單位組織和個人轉載到各大平台、論壇、博客等等。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!