waf怎么用php_WAF防火墙与PHP安全防护配置方法

首先安装PHP-WAF扩展并配置规则集，再通过php.ini启用扩展与严格模式，最后可选中间件方式在共享主机实现XSS和SQL注入防护。

如果您在部署Web应用时发现存在SQL注入、跨站脚本（XSS）等攻击风险，可能是由于缺少有效的PHP层面的安全过滤机制。通过配置PHP-WAF防火墙可以实现对常见攻击的实时拦截。以下是具体实施步骤：

本文运行环境：Lenovo ThinkPad X1 Carbon，Ubuntu 22.04

一、安装PHP-WAF扩展模块

PHP-WAF是一个以扩展形式集成到PHP中的轻量级Web应用防火墙，能够在请求进入脚本前进行安全检测。通过编译安装方式可将其嵌入PHP内核。

1、使用git克隆PHP-WAF源码仓库到本地：git clone https://github.com/leeao/php-waf.git

立即学习“PHP免费学习笔记（深入）”；

2、进入源码目录并执行phpize准备编译环境：cd php-waf && phpize

3、配置编译参数并完成安装：./configure --enable-php-waf && make && sudo make install

4、编辑php.ini文件，在末尾添加extension=php_waf.so启用扩展

5、重启Web服务使配置生效：sudo systemctl restart apache2 或 sudo systemctl restart php-fpm

二、配置规则集与防护策略

PHP-WAF通过预定义的规则集识别恶意输入，需在php.ini中设置规则路径和触发动作。规则可针对GET、POST、COOKIE等输入源分别控制。

1、在php.ini中添加基本配置项：php_waf.enable=1

2、指定规则文件存放路径：php_waf.rule_path=/etc/php-waf/rules/

3、设置检测模式为严格：php_waf.mode=strict

4、创建规则目录并写入SQL注入防护规则：mkdir -p /etc/php-waf/rules && echo "select.*from|union.*select|insert.*into" > /etc/php-waf/rules/sql_injection.rule

5、保存后重新加载PHP服务以应用新规则

三、通过中间件方式集成WAF逻辑

若无法使用扩展方式，可在应用入口文件（如index.php）中引入基于PHP编写的WAF中间层代码，实现请求过滤。该方法无需修改PHP配置，适用于共享主机环境。

1、创建waf.php文件并在其中定义过滤函数，例如检查REQUEST_URI中是否包含<script></script>

2、编写正则匹配规则拦截XSS特征：preg_match('/<script></script>

3、当检测到攻击行为时终止脚本执行并返回403状态码：header("HTTP/1.1 403 Forbidden"); exit();

4、在每个PHP入口文件顶部包含该WAF文件：require_once('waf.php');

5、测试访问带有<script>的URL确认是否被成功拦截</script>

四、日志记录与告警响应设置

为了追踪攻击尝试，需开启PHP-WAF的日志功能，将可疑请求信息写入指定文件，便于后续分析和响应。

1、在php.ini中启用日志：php_waf.log_enable=1

2、设定日志输出路径：php_waf.log_path=/var/log/php-waf.log

3、确保日志目录具有写权限：sudo chown www-data:www-data /var/log/php-waf.log

4、触发一次测试攻击请求，检查日志文件中是否记录了客户端IP、请求参数及匹配规则

5、结合logrotate工具配置日志轮转，防止文件过大占用磁盘空间

以上就是waf怎么用php_WAF防火墙与PHP安全防护配置方法的详细内容，更多请关注php中文网其它相关文章！