ThinkPHP伪静态规则拦截恶意请求的安全防护技巧

伪静态规则本身不防攻击，但可配合WAF做前置过滤；其在Nginx中执行早于PHP-WAF和ThinkPHP中间件，能主动拒绝含union select等恶意模式的原始URI，实现应用层前拦截，但需注意透传lang参数、隔离上传目录及同步HTTPS配置。

伪静态规则本身不防攻击，但能配合WAF做前置过滤

伪静态规则在 Nginx 中执行早于 PHP-WAF 和 ThinkPHP 中间件，这意味着它无法“拦截”恶意请求，但可以主动丢弃明显异常的 URL 模式，把攻击流量挡在应用层之前。比如带 union select、into outfile、phpinfo() 的原始 URI，还没进 PHP 就被 Nginx 拒绝。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

• 在 Nginx location / 块里加 if ($args ~* "(union|select|insert|drop|load_file|outfile|eval|base64_decode)") { return 403; } —— 注意这不是万能方案，仅防低级扫描器
• 避免用 if 判断路径（如 if ($request_uri ~* "/admin/.*.php")），Nginx 的 if 有坑，优先用 map + return
• 别把规则写在 HTTPS 的 server 块里却漏掉 HTTP 块——两个协议是独立上下文，必须分别配置
• 云 WAF 看的是原始 URI，PHP-WAF 看的是重写后的 $_SERVER['REQUEST_URI']，所以 Nginx 层过滤更可靠

lang 参数必须在伪静态规则里显式放行，否则多语言切换失效

ThinkPHP 多语言常靠 ?l=zh-cn 或 &lang=en-us 传参，但很多伪静态规则（尤其宝塔默认模板）会把 query string 整体丢弃，导致语言参数丢失、切换失败，甚至触发 404。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

• Nginx 规则末尾务必带 &$args，例如：try_files $uri $uri/ /index.php?s=$uri&$args; —— 缺了 &$args，所有 GET 参数都会消失
• Apache 的 RewriteRule 要加 [QSA] 标志，否则 ?l=ja 不会透传到 PHP
• 如果用了 url_html_suffix 设为 .html，就别把 ?l=xx 放在 URL 末尾（如 /article/1.html?l=zh），Nginx 可能截断；改用路由别名，例如 Route::rule('zh/:id', 'article/read')
• 检查伪静态生效后，$_GET['l'] 是否还能取到值，不能只看页面是否加载成功

上传目录和静态资源路径必须绕过伪静态，否则中间件失效

ThinkPHP 中间件（如 CheckRequest）只对走 PHP 的请求生效。如果攻击者直接请求 /uploads/shell.php，而 Nginx 配置了 location ~ .php$ 并允许执行，那中间件根本不会触发——这是 RCE 最常见入口之一。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

• 确认 Nginx 对上传目录做了禁止执行：例如 location ^~ /uploads/ { location ~ .php$ { deny all; } }
• 静态资源（/static/、/uploads/）必须由 Nginx 直接服务，且明确配置 location /static { alias /path/to/public/static; }，不能依赖 try_files 回退到 index.php
• 别指望 IpWhitelist 中间件能拦住 /uploads/xxx.jpg 请求——它压根不进 PHP，得在 Nginx 层用 allow/deny 或 geo+map
• 检查 curl -I http://your.com/uploads/test.php 返回的是 403 还是 200，这是最直接的验证方式

伪静态 + 多语言 + HTTPS 组合下最容易丢参或跳错协议

HTTPS 下伪静态规则若没同步配置，或框架没感知到 SSL 状态，就会生成 http:// 链接，浏览器报 Mixed Content；多语言参数还可能因重写规则顺序问题被吞掉，最终用户切语言后页面白屏或跳回默认语言。

实操建议：

立即学习“PHP免费学习笔记（深入）”；

• 在 config/app.php 中强制设置 'app_url' => 'https://yourdomain.com'，避免 U() 函数输出 http 链接
• 模板中多语言跳转链接统一用协议相对路径：href="//your.com/?l=en"，而不是硬编码 http:// 或 https://
• Nginx 的 server 块里加 fastcgi_param HTTPS on;（针对 FastCGI），否则 ThinkPHP 可能误判协议
• 测试时用 curl -k "https://your.com/user/login?l=ja" 查看响应头里的 Location 是否仍是 https，以及页面内生成的链接是否带正确协议

真正卡住人的地方不在规则语法，而在三层配置的衔接点：Nginx 的重写时机、PHP 对 $_SERVER 字段的读取逻辑、ThinkPHP 路由对 s 参数的解析顺序——任一环断开，lang 参数就丢，恶意请求就漏，HTTPS 就降级。