PHPWAF自定义规则须手动编辑/usr/local/phpwaf/rules/下以.rule为后缀的文件,每条SecRule独占一行,ID需全局唯一,修改后需systemctl restart phpwaf生效。
PHPWAF 的自定义规则不能通过 Web 界面直接添加,必须手动编辑配置文件;否则规则不会加载,也看不到任何报错提示。
PHPWAF 规则文件位置和命名规范
规则文件需放在 /usr/local/phpwaf/rules/ 目录下(路径取决于你的安装方式),且必须以 .rule 为后缀。常见默认规则如 sql_inject.rule、xss.rule 都在此目录。
- 文件名建议用小写字母+下划线,避免空格或特殊符号
- 多个规则可写在一个文件里,但每条规则必须独占一行,且以
SecRule开头 - 修改后需重启 PHPWAF 服务(如
systemctl restart phpwaf)才生效
自定义规则语法要点(基于 ModSecurity 2.x 语法)
PHPWAF 底层使用的是 ModSecurity 2.x 兼容引擎,不支持 ModSecurity 3 的 SecRuleEngine On 这类新语法。最简可用的规则结构是:
SecRule ARGS "@rx (?i)union\s+select" "id:1001,rev:1,tag:'OWASP_CRS',msg:'SQL Injection Detected',deny,status:403"
-
ARGS表示匹配所有 GET/POST 参数值,也可换为REQUEST_HEADERS、REQUEST_BODY等 -
@rx后接 PCRE 正则,注意大小写敏感性,默认区分大小写,加(?i)可忽略 -
id:必须全局唯一,重复 ID 会导致规则加载失败(但无提示) -
deny是最常用动作,也可用log,pass或block,但block在 PHPWAF 中等价于deny
测试规则是否生效的实用方法
别只靠访问页面看 403 —— 很多时候规则没加载成功,或者正则根本没匹配上。推荐三步验证:
立即学习“PHP免费学习笔记(深入)”;
- 执行
phpwaf -t(部分版本支持)或检查日志:tail -f /var/log/phpwaf/error.log,有规则语法错误会在这里报出 - 在规则中临时加入
log,auditlog动作,并确认AuditLog已在主配置中启用 - 用 curl 构造明确触发的请求,例如:
curl "http://localhost/test.php?a=1%20union%20select",观察响应状态码和日志时间戳是否同步
最容易被忽略的是规则 ID 冲突和正则末尾缺少转义 —— 比如匹配 select * 时写成 @rx select \*,实际要写成 @rx select\ \* 或 @rx select\s+\*,否则星号会被 shell 解析或正则引擎忽略。
