一、概述

本文主要是对PHP开发应用的基础进行总结学习，主要分为以下几个模块：

1. 博客开发与留言模块（输入、变量、数据库）
2. 用户认证与身份管理（Cookie、Session、Token）
3. 文件上传与访问控制
4. 文件操作安全（下载、删除、目录遍历）
5. 模板引擎与远程命令执行（Smarty、MVC）
6. 框架安全（ThinkPHP，路由与核心漏洞）

二、章节知识点汇总

1. 博客与留言板模块

涉及的知识点：

1. PHP变量作用域与全局变量
2. 变量作用域：指一个变量在程序中可访问的范围。PHP 中有 全局作用域 和 局部作用域：
   全局变量：在函数外部定义的变量，在函数内不可直接访问，除非使用 global 关键字。
   局部变量：在函数内部定义的变量，只在函数内有效。

• 全局变量污染：
  定义：全局变量污染是指用户输入数据意外覆盖了程序中已有的全局变量，可能导致程序行为异常。
  例子：通过 extract($_GET) 导入外部数据时，攻击者可以通过构造 URL 来覆盖现有的全局变量。
  解决方案：避免使用 extract()，手动获取并验证数据。
  $username = isset($_GET['username']) ? $_GET['username'] : '';

2. 用户输入处理（未过滤导致XSS、SQL注入）
3. XSS (Cross-Site Scripting)：攻击者将恶意脚本注入到网页中，导致其他用户执行恶意代码，造成信息窃取。
4. SQL 注入：攻击者通过输入恶意 SQL 语句，将其插入到原本的 SQL 查询中，执行非法操作（如获取、修改数据等）。
   问题：如果没有过滤用户输入，攻击者可以通过表单或 URL 参数注入恶意脚本，执行 XSS 攻击。
   解决方案：使用 htmlspecialchars() 函数对输出进行转义。
   `// 安全示例：输出时使用 htmlspecialchars 防止 XSS
   echo htmlspecialchars($_GET['user_input'], ENT_QUOTES, 'UTF-8');
   `
5. 数据库交互（mysql_query() 直接拼接SQL语句）
   SQL 注入防御：避免直接将用户输入拼接到 SQL 查询中，应使用参数化查询来防止恶意数据的插入。

`// 安全示例：使用预处理语句
$mysqli = new mysqli("localhost", "user", "password", "database");
$stmt = $mysqli->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $_POST['username'], $_POST['password']);
$stmt->execute();
$stmt->close();
`

4. 第三方插件引用安全（组件注入、依赖风险）
   组件注入：使用第三方库时，如果没有进行适当的验证和隔离，可能导致恶意代码注入系统。

2. 用户身份认证模块

设计知识点：

1. Cookie 与 Session 的区别与管理
2. Session：服务器端保存用户状态，通常通过 Session ID 来标识和管理会话。
3. Cookie：客户端保存的信息，通过 HTTP 请求随每次访问发送给服务器。
4. Session Fixation：攻击者通过提前设置一个已知的 Session ID，使用户在登录时使用该 Session，从而劫持会话。
   Session Fixation 攻击
   问题：攻击者可以通过固定 Session ID 劫持会话。
   解决方案：在用户登录后使用 session_regenerate_id(true) 更换 Session ID，防止会话固定。

`// 防止会话固定攻击
session_start();
session_regenerate_id(true); // 生成新的 Session ID
$_SESSION['user'] = 'username';
`

2. Token 登录机制（用于防CSRF）
3. CSRF (Cross-Site Request Forgery)：通过伪造请求让已认证的用户执行恶意操作。

CSRF Token：防止跨站请求伪造的一种随机码校验机制
问题：CSRF 攻击通过伪造用户请求来执行恶意操作。
解决方案：每次提交表单时，生成一个 CSRF Token，验证请求时进行比对。

`// 生成并存储 CSRF Token
session_start();
if (empty($_SESSION['csrf_token'])) {

$_SESSION['csrf_token'] = bin2hex(random_bytes(32));  // 随机生成 CSRF Token

}

// 验证 CSRF Token
if ($_POST['csrf_token'] !== $_SESSION['csrf_token']) {

die('CSRF token validation failed.');

}
`
JWT认证机制基础：https://jwt.io/
问题：JWT 被广泛用于无状态认证，但如果密钥泄漏，攻击者可以伪造 Token 进行身份冒充。
解决方案：使用强密码加密密钥，并设置适当的过期时间。

`use \Firebase\JWT\JWT;

$key = "secret_key";
$issuedAt = time();
$expirationTime = $issuedAt + 3600; // JWT 过期时间为 1 小时
$payload = array(

"iat" => $issuedAt,
"exp" => $expirationTime,
"data" => array(
    "user_id" => 123,
    "username" => "john_doe"
)

);

$jwt = JWT::encode($payload, $key);
`

3. 文件上传模块

涉及知识点：

1. 文件类型验证（扩展名、MIME）
   MIME 欺骗：攻击者通过伪造文件的 MIME 类型或扩展名绕过上传限制。
   问题：攻击者可以通过伪造文件扩展名或 MIME 类型绕过文件类型验证。
   解决方案：除了验证文件扩展名，还要通过 finfo_file() 检查文件的 MIME 类型。

`// 使用 finfo_file() 检查文件 MIME 类型
$file_info = finfo_open(FILEINFO_MIME_TYPE);
$file_mime = finfo_file($file_info, $_FILES'uploaded_file');

if ($file_mime !== 'image/jpeg' && $file_mime !== 'image/png') {

die('Invalid file type.');

}

finfo_close($file_info);
`

2. 上传目录访问控制
   上传漏洞：攻击者可能通过上传恶意文件（如 PHP 脚本）并执行，控制服务器。
   问题：攻击者上传 PHP 文件后，可能执行恶意脚本。
   解决方案：将上传目录设置为不可执行，并验证文件类型。

`// 上传文件并限制目录权限
$upload_dir = '/var/www/uploads';
move_uploaded_file($_FILES['uploaded_file']['tmp_name'], $upload_dir . '/' . $_FILES'uploaded_file');

// 设置目录权限为不可执行
chmod($upload_dir, 0755); // 仅允许文件读取和写入
`

3. Webshell 上传绕过
4. Webshell 是攻击者通过上传的恶意脚本文件（通常是 PHP 文件）实现对服务器的远程控制。Webshell 文件通常通过网站的上传功能进行上传，利用上传功能的安全漏洞（如不正确的文件类型验证、权限设置等）执行恶意命令或控制服务器。
5. Webshell 上传绕过 是指攻击者利用漏洞绕过文件上传的安全检测，成功将 Webshell 上传到服务器并执行，从而获得对服务器的控制。
6. 常见绕过技巧有：
7. 文件扩展名绕过
   通过修改文件扩展名（如 .php 被改为 .jpg 或 .php5），来绕过服务器
8. MIME 类型绕过
   伪造 Content-Type 来绕过检查，例如将文件的 MIME 类型伪装成图片类型 image/jpeg 或 image/png
9. PHP 执行绕过
   通过文件内容或者通过多层嵌套（如 .php.jpg）等方式绕过限制
10. 输入流绕过
    以通过输入流的方式（例如通过 file_get_contents()）绕过文件类型检测或扩展名检查'

• 防止 Webshell 上传绕过的关键措施是：
  严格验证文件类型、扩展名和 MIME 类型。
  设置正确的文件权限，确保上传目录不可执行。
  使用 move_uploaded_file() 等安全函数，并进行详细的内容检测。
  使用 Burp Suite 等工具模拟 Webshell 上传，发现并修复漏洞。

4. 文件操作模块

涉及知识点：

1. 文件遍历漏洞：
   攻击者通过特制的文件路径（如 ../../etc/passwd）访问敏感文件，绕过路径限制。
   问题：攻击者通过路径穿越漏洞访问系统敏感文件。
   解决方案：使用 realpath() 函数规范化文件路径，确保路径在允许的目录内。

`// 防止路径穿越
$file = realpath($directory . '/' . $_GET['file']);
if (strpos($file, $directory) !== 0) {

die('Invalid file path.');

}

include($file);
`

2. 非法写入与文件删除
3. 定义：非法写入漏洞是指攻击者通过恶意手段向不应允许写入的文件或目录写入数据。文件删除漏洞是指攻击者可以删除不该删除的文件，导致数据丢失或服务不可用。
4. 问题：如果文件系统的权限控制不严格，攻击者可能会通过文件上传功能上传恶意文件，甚至删除重要的系统文件，导致安全事故。
5. 解决办法：
   对文件操作进行严格权限控制，确保只有授权用户才能执行文件写入和删除操作。
   使用 open_basedir 配置，限制 PHP 脚本只能访问特定的目录。
   防止用户上传可执行文件，限制上传文件类型和扩展名。
   `// 上传文件时禁止 PHP 文件
   $allowed_ext = ['jpg', 'jpeg', 'png', 'gif'];
   $file_ext = pathinfo($_FILES'file', PATHINFO_EXTENSION);
   if (!in_array(strtolower($file_ext), $allowed_ext)) {
   die('Invalid file type');
   }

// 设置目录权限为只读
chmod($upload_dir, 0755);
`

3. 目录穿越与路径控制
   定义：目录穿越（Directory Traversal）漏洞是指攻击者通过操控文件路径，使用 ../ 等路径符号绕过文件系统的访问控制，访问不应该公开的文件。
   问题：攻击者可能通过构造恶意路径，访问服务器上敏感的文件或目录，如 /etc/passwd 等敏感文件，获取敏感信息。
   严格路径验证：使用 realpath() 或自定义函数来验证文件路径，确保路径不会被恶意修改。
   限制文件路径长度：限制用户输入路径的长度，防止攻击者通过复杂路径绕过访问控制。
   `// 防止目录穿越
   $file = realpath($directory . '/' . $_GET['file']);
   if ($file === false || strpos($file, $directory) !== 0) {
   die('Invalid file path.');
   }
   include($file);
   `

   5. 模板渲染模块（Smarty引擎）

   涉及知识点：

4. 模板引擎语法执行漏洞（变量覆盖、函数执行）
5. 定义：模板引擎的语法执行漏洞是指攻击者通过传递恶意变量或代码，导致模板引擎执行不受信任的代码，可能导致信息泄露、命令执行等攻击。
6. 问题：攻击者可以通过模板引擎中的语法漏洞，覆盖重要变量或执行系统命令，导致系统被攻击。
7. 攻击示例：攻击者将恶意代码注入到模板中，导致模板引擎执行攻击代码。
8. 解决方案：
   输入过滤：确保所有用户输入的内容都经过严格的过滤，尤其是包含 {$} 语法的内容。
   禁用不安全的函数：在模板引擎配置中禁用所有危险的 PHP 函数，避免通过模板执行恶意代码。
   `// 使用 Smarty 模板引擎时进行输入过滤
   $smarty = new Smarty;
   $smarty->assign('user_input', htmlspecialchars($_POST['user_input'], ENT_QUOTES, 'UTF-8'));
   $smarty->display('template.tpl');
   `
9. 模板注入 → 远程命令执行（RCE）

• 定义：模板注入漏洞是指攻击者通过将恶意代码注入模板引擎中，执行远程命令（RCE），从而控制服务器。
• 问题：通过模板引擎执行用户输入的代码，攻击者可能执行任意系统命令，导致严重的安全问题。
• 攻击示例：攻击者在输入框中提交恶意代码，模板引擎执行时导致远程命令执行。
• 解决方案：
  严格输入过滤：确保用户输入的所有数据不包含恶意代码。
  模板引擎配置：禁止用户传入不安全的变量，如 system(), exec() 等。

`// 防止模板注入，严格转义用户输入
$smarty->assign('user_input', htmlspecialchars($_POST['user_input'], ENT_QUOTES, 'UTF-8'));
$smarty->display('template.tpl');
`

3. MVC模型中视图与逻辑混淆导致权限问题
4. 定义：MVC 模型（Model-View-Controller）是一种设计模式，用于分离应用程序的业务逻辑、用户界面和输入控制。逻辑与视图的混淆可能导致权限问题，如用户未经授权访问敏感数据。
5. 问题：如果视图层与控制器或模型层的业务逻辑混淆，可能导致未经授权的用户访问敏感数据或功能。
6. 解决方案：
   分离权限控制与业务逻辑：确保控制器层严格负责权限控制，视图层仅负责显示数据。
   使用中间件或权限过滤器：在控制器中使用中间件或权限过滤器，确保只有授权用户才能访问特定资源。
   `// 使用中间件限制访问
   Route::group('admin', function () {
   Route::get('dashboard', 'AdminController@dashboard');
   Route::post('update', 'AdminController@update');
   })->middleware('auth');
   `

6. ThinkPHP框架核心漏洞

涉及知识点：

1. 路由控制缺陷
2. 定义：路由控制缺陷是指攻击者通过构造恶意路径，访问框架中未经授权的控制器或方法。
3. 问题：攻击者可能利用路由配置中的漏洞，访问系统的控制器，执行不受限制的操作。
4. 解决方案：
   严格路由规则：使用框架的路由功能，限制访问控制器的路径。
   路径验证：确保所有的请求路径都经过验证和清洗，避免任意访问。
   `// 路由规则示例，限制访问权限
   Route::group('admin', function () {
   Route::get('dashboard', 'AdminController@dashboard');
   })->middleware('auth');
   `
5. 控制器类访问未授权
6. 定义：攻击者通过绕过认证或权限机制，访问本应被保护的控制器或方法。
7. 问题：未经授权的访问可能导致敏感操作或数据泄露。
8. 解决方案：
   权限控制：在控制器中加入权限检查，确保用户具备访问权限。
   中间件保护：使用中间件进行统一的权限检查。
   `// 使用中间件保护控制器
   Route::middleware('auth')->get('dashboard', 'AdminController@dashboard');
   `
9. ThinkPHP历史版本反序列化漏洞
   定义：反序列化漏洞是指攻击者通过向应用程序传递恶意构造的序列化数据，触发系统中的反序列化过程，执行恶意代码。
   问题：攻击者可以通过传递恶意数据，利用反序列化漏洞触发远程代码执行（RCE）。
   解决方案：
   禁止不可信的反序列化：避免直接使用 unserialize() 函数反序列化用户输入的数据。
   使用 JSON 替代 PHP 序列化：尽量使用 JSON 作为数据交换格式，避免使用 PHP 内建的序列化。
   `// 使用 JSON 代替 unserialize()
   $data = json_decode($user_input, true);
   `