在Ubuntu中对ThinkPHP进行安全加固，可从系统、框架、数据库及应用层面采取以下措施：

• 系统安全

  • 定期更新系统和软件包：sudo apt update && sudo apt upgrade，启用unattended-upgrades自动更新。
  • 配置防火墙（如ufw）：仅开放必要端口（SSH 22、HTTP 80/HTTPS 443），关闭默认未使用端口。
  • 禁用不必要的服务：如telnet、ftp等，减少攻击面。
  • 强化SSH安全：修改默认端口、禁用root登录、启用公钥认证，设置空闲超时退出。

• 框架与代码安全

  • 更新框架与PHP版本：定期升级ThinkPHP至最新版，修复安全漏洞；PHP升级至7.4+或8.x，确保支持安全特性。
  • 关闭调试模式：生产环境中设置APP_DEBUG=false，避免敏感信息泄露。
  • 输入验证与过滤：使用ThinkPHP的Request类或验证器对用户输入进行过滤，防止SQL注入、XSS攻击。
  • 防止SQL注入：采用预处理语句（如Db::name('table')->where('id', '=', $id)->select()）或ORM工具。
  • XSS防护：对输出数据使用htmlspecialchars或框架自动转义功能。
  • CSRF防护：启用框架CSRF令牌机制，验证表单提交合法性。
  • 文件上传安全：限制文件类型、大小，存储至非Web根目录，上传前进行病毒扫描。

• 数据库安全

  • 账户管理：删除默认空密码账户，使用强密码策略，限制数据库用户权限（仅授予必要权限）。
  • 数据加密：对敏感字段（如密码、身份证号）使用加密算法（如bcrypt）存储，传输层使用HTTPS。

• 应用部署安全

  • 规范目录权限：Web根目录指向public，设置文件权限为0644，目录权限为0755，禁止敏感文件（如.env）被直接访问。
  • 禁用危险函数：在php.ini中禁用eval、exec等高风险函数。
  • 使用HTTPS：配置SSL证书，强制跳转HTTPS，加密数据传输。
  • 限制访问速率：通过Nginx或防火墙规则限制单位时间内的请求次数，防范DDoS攻击。

• 监控与维护

  • 定期审计日志：查看系统日志（/var/log/）、框架日志，分析异常访问行为。
  • 定期备份：对数据库和重要文件进行定期备份，存储至安全位置。

参考来源：