首先安装PHP-WAF扩展并配置规则集,再通过php.ini启用扩展与严格模式,最后可选中间件方式在共享主机实现XSS和SQL注入防护。
如果您在部署Web应用时发现存在SQL注入、跨站脚本(XSS)等攻击风险,可能是由于缺少有效的PHP层面的安全过滤机制。通过配置PHP-WAF防火墙可以实现对常见攻击的实时拦截。以下是具体实施步骤:
本文运行环境:Lenovo ThinkPad X1 Carbon,Ubuntu 22.04
一、安装PHP-WAF扩展模块
PHP-WAF是一个以扩展形式集成到PHP中的轻量级Web应用防火墙,能够在请求进入脚本前进行安全检测。通过编译安装方式可将其嵌入PHP内核。
1、使用git克隆PHP-WAF源码仓库到本地:git clone https://github.com/leeao/php-waf.git
立即学习“PHP免费学习笔记(深入)”;
2、进入源码目录并执行phpize准备编译环境:cd php-waf && phpize
3、配置编译参数并完成安装:./configure --enable-php-waf && make && sudo make install
4、编辑php.ini文件,在末尾添加extension=php_waf.so启用扩展
5、重启Web服务使配置生效:sudo systemctl restart apache2 或 sudo systemctl restart php-fpm
二、配置规则集与防护策略
PHP-WAF通过预定义的规则集识别恶意输入,需在php.ini中设置规则路径和触发动作。规则可针对GET、POST、COOKIE等输入源分别控制。
1、在php.ini中添加基本配置项:php_waf.enable=1
2、指定规则文件存放路径:php_waf.rule_path=/etc/php-waf/rules/
3、设置检测模式为严格:php_waf.mode=strict
4、创建规则目录并写入SQL注入防护规则:mkdir -p /etc/php-waf/rules && echo "select.*from|union.*select|insert.*into" > /etc/php-waf/rules/sql_injection.rule
5、保存后重新加载PHP服务以应用新规则
三、通过中间件方式集成WAF逻辑
若无法使用扩展方式,可在应用入口文件(如index.php)中引入基于PHP编写的WAF中间层代码,实现请求过滤。该方法无需修改PHP配置,适用于共享主机环境。
1、创建waf.php文件并在其中定义过滤函数,例如检查REQUEST_URI中是否包含<script></script>
2、编写正则匹配规则拦截XSS特征:preg_match('/<script></script>
3、当检测到攻击行为时终止脚本执行并返回403状态码:header("HTTP/1.1 403 Forbidden"); exit();
4、在每个PHP入口文件顶部包含该WAF文件:require_once('waf.php');
5、测试访问带有<script>的URL确认是否被成功拦截</script>
四、日志记录与告警响应设置
为了追踪攻击尝试,需开启PHP-WAF的日志功能,将可疑请求信息写入指定文件,便于后续分析和响应。
1、在php.ini中启用日志:php_waf.log_enable=1
2、设定日志输出路径:php_waf.log_path=/var/log/php-waf.log
3、确保日志目录具有写权限:sudo chown www-data:www-data /var/log/php-waf.log
4、触发一次测试攻击请求,检查日志文件中是否记录了客户端IP、请求参数及匹配规则
5、结合logrotate工具配置日志轮转,防止文件过大占用磁盘空间
