以下是在CentOS服务器上对ThinkPHP进行安全防护的关键措施：

1. 系统与框架更新

   • 定期更新CentOS系统和ThinkPHP框架至最新版本，修复安全漏洞。
   • 使用sudo yum update -y命令更新系统软件包。

2. 关闭敏感功能

   • 生产环境中关闭PHP错误报告（display_errors = Off）和ThinkPHP调试模式（app_debug = false），避免泄露敏感信息。

3. 输入验证与过滤

   • 使用ThinkPHP验证器对用户输入进行规则校验（如长度、格式），防止SQL注入和XSS攻击。
   • 对输入数据进行过滤（如strip_tags、htmlspecialchars），避免恶意代码执行。

4. 防SQL注入

   • 使用ThinkPHP的查询构造器或PDO参数绑定功能，避免直接拼接SQL语句。

5. 文件上传安全

   • 限制上传文件类型、大小，指定安全存储路径，并对文件进行安全扫描。

6. 会话与权限管理

   • 配置安全的会话驱动（如Redis），启用加密存储。
   • 通过RBAC（基于角色的访问控制）限制用户权限，避免越权操作。

7. 网络安全配置

   • 使用HTTPS加密传输数据，配置SSL证书。
   • 通过防火墙（如firewalld）限制服务器端口访问，仅开放必要服务。

8. 文件与目录权限

   • 设置项目文件权限为755，敏感目录（如runtime、config）设置为仅允许Web服务器用户访问。

9. 安全扩展与监控

   • 集成Web应用防火墙（WAF）或OpenRasp，防御常见Web攻击（如RCE、SQL注入）。
   • 定期进行安全审计，检查代码漏洞和异常日志。

参考来源：