关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入以及nginx配置中的if多条件判断问题-阿里云阻止指host访问

本文主要是介绍关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入以及nginx配置中的if多条件判断问题-阿里云阻止指host访问，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

一、关于thinkPHP3.2中的rewrite不严谨问题会导致网站被注入

thinkPHP3.2的rewrite问题，之前也没在意过，但是今天浏览了一下服务器的一套CMS的相关东西，因为这套CMS是使用thinkPHP3.2搭建的，在浏览代码时发现其目录架构与目前的流行架构不一样，其index.php是写在应用程序的根目录下，而现在的index.php一般都写在public目录（只允许对外访问的目录下面），于是我顺便看了一下涉及此CMS平台的nginx配置，配置conf基本和thinkphp官网的配置一样，在thinkphp网站上也能看到大多数这样的配置，publish:September 14, 2018 -Friday 如下：

server {listen   80;server_name  domain.com;error_page   404              /404.html;error_page   500 502 503 504  /50x.html;#这个location块处理动态资源请求.location ~  \.php   {root /data0/htdocs/www;fastcgi_pass   127.0.0.1:9000;include        fastcgi.conf;       }#这个location处理能处理所有的静态资源location / {root   /home/htdocs/www;index  index.php index.html index.htm;if (!-e $request_filename){rewrite ^(.*)$ /index.php?s=$1 last;}}
}

看了一眼之后突然觉得这个有问题，在执行最后一步rewrite之前的判断是判断这个文件是否存在，if (!-e $request_filename)。如果不存在才会执行由index.php入口进行请求。但这明显是有问题的，那么如果直接请求存在的PHP文件或者其它文件呢？是不是也能请求（是否会造成问题不论，至少突破了你的设防）。由于我的代码版本中存在一些shell脚本以及一些python代码，于是我尝试直接访问python代码文件，发现其能将python文件下载下来，这就是很大的问题了。万一shell或者python代码块中有服务器密码或什么账号之类的东西，这个服务器就要被攻击玩完了。可见thinkphp升级到5的必要性了，thinkPHP5中的框架已经是大众架构了（对外只允许访问Public目录，index.php和其它的css/js等资源文件都放在此目录。当然对于我现在的情况，也懒得去升级了。不改代码的话在nginx层加上配置：

#将不允许直接访问的文件后缀列在此处
location ~ \.(py|sh)$ {return 404;
}

如果你方便去改代码，建议将thinkphp3.2的PHP的入口文件移动到Public目录下，同时将其它robots.txt文件也放入。然后修改thinkphp3.2的入口文件如下：

<?php
// +----------------------------------------------------------------------
// | ThinkPHP [ WE CAN DO IT JUST THINK ]
// +----------------------------------------------------------------------
// | Copyright (c) 2006-2014 http://thinkphp.cn All rights reserved.
// +----------------------------------------------------------------------
// | Licensed ( http://www.apache.org/licenses/LICENSE-2.0 )
// +----------------------------------------------------------------------
// | Author: liu21st <liu21st@gmail.com>
// +----------------------------------------------------------------------// 应用入口文件// 检测PHP环境
if(version_compare(PHP_VERSION,'5.3.0','<'))  die('require PHP > 5.3.0 !');// 开启调试模式 建议开发阶段开启 部署阶段注释或者设为false
define('APP_DEBUG',false);// 定义应用目录
define('ROOT_PATH', dirname(__DIR__));  #此行为增加的新行
define('APP_PATH', ROOT_PATH.'/Application/');  #修改此处加载路径，添加上面的ROOT_PATH// 引入ThinkPHP入口文件
require ROOT_PATH.'/ThinkPHP/ThinkPHP.php';     #修改此处加载路径，添加上面的ROOT_PATH// 亲^_^ 后面不需要任何代码了 就是如此简单

二、nginx配置中的if多条件判断问题-阿里云阻止指host访问

下面是一段nginx配置，之前只是判断如果$host是否等于www.007.cn，后来我加上一个匹配007，保存配置文件后检查发现报错：nginx: [emerg] invalid condition publish:September 28, 2018 -Friday

#配置文件修改
if ( $host ~ /007/ && $host != 'www.007.cn' ) {rewrite ^/(.*)$ http://47.13.13.36/$1 permanent;
}
[root@007 vhosts]# nginx -t
nginx: [emerg] invalid condition "$host" in /usr/local/nginx/conf/vhosts/007.conf:6
nginx: configuration file /usr/local/nginx/conf/nginx.conf test failed

于是我带着程序语言的逻辑认真地检查配置文件的语法，依然没发现哪里有异常，后来才知道nginx的配置中不支持if条件的逻辑与&& 逻辑或|| 运算，而且不支持if的嵌套语法：nginx通过ngx_http_rewrite_module模块支持url rewritet和if条件判断，但不支持else。另外该模块需要PCRE支持，应在编译nginx时指定PCRE支持。根据相关变量重定向和选择不同的配置，从一个location跳转到另一个location，不过这样的循环最多可以执行10次，超过后nginx将返回500错误。同时，重写模块可以包含set指令，来创建新的变量并设其值，这在有些情景下非常有用的，如记录条件标识、传递参数到其他location、记录做了什么等等。学习rewrite之前要对正则表达式要很熟悉，常用的正则表达式元字符如下:

#nginx常用的正则表达式
.     :匹配除换行符以外的任意字符
?     :重复0次或1次
+     :重复1次或更多次
*     :重复0次或更多次
\d    :匹配数字
^     :匹配字符串的开始字符
$     :匹配字符串的结束字符
{n}   :重复n次
{n,}  :重复n次或更多次
[c]   :匹配单个字符c
[a-z] :匹配a-z小写字母的任意一个
#在rewrite中，如果使用小括号()，那么在小括号之间匹配的内容，可以在后面通过$1来引用，$2表示的是前面第二个()里的内容。

所以上述配置会报下面的错误：nginx: [emerg] invalid condition。所以上面的这方法是行不通的，改成两个if条件嵌套也一样不行，我这里的条件到是简单，一想，我这个可以改为：

if ( $host = '007.cn' ) { rewrite ^/(.*)$ http://47.13.13.26/$1 permanent;
}
#还可以这样：
if ( $host ~ ^007 ) {rewrite ^/(.*)$ http://47.13.13.26/$1 permanent;
}

另外对于上面的问题，如果不能像以上压缩到一个条件解决的话，可以使用间接变量的方式来实现，这个在程序逻辑里我们也经常使用, 方法如下：

set $flag 0;
if ($host ~ '007' ){set $flag "${flag}1";
}
if ($host != 'www.007.cn'){set $flag "${flag}1";
}
if ($flag = "011"){rewrite ^/(.*)$ http://47.13.13.26/$1 permanent;
}

但在进行上述试验后，我想使用一个假域名指host访问阿里云主机，发现阿里云会阻止这样的访问：

该网站暂时无法访问尊敬的用户，您好
很抱歉，该网站暂时无法访问，可能由以下原因导致：
原因一：未备案或未接入；根据《非经营性互联网信息服务备案管理办法》，网站需要完成备案或接入。
原因二：网站内容与备案信息不符或备案信息不准确；根据《非经营性互联网信息服务备案管理办法》，网站内容需要与备案信息一致，且备案信息需真实有效。建议网站管理员尽快修改网站信息。