宝塔网站防黑客注入的攻略

把“防注入”拆成最有效的几层防护：先从代码层面堵根，再加上边界防护（WAF / RASP / 云 WAF），最后做检测与监控。下面给出清晰的优先级、推荐软件/服务、以及可立刻上手的代码/配置示例。

一、优先级（必须按这个顺序做）

1. 代码修复（最重要、最可靠） —— 用参数化查询 / Prepared Statements，严格白名单校验用户输入，输出做转义（XSS）

2. 最小权限 —— 数据库账号只给必要的权限（SELECT/INSERT/UPDATE），不使用 root/all 权限

3. WAF（边界防护） —— 部署 ModSecurity / NAXSI / OpenResty 等，或用云厂商/Cloudflare 的 WAF 作为第二道防线

4. 审计/扫描/渗透测试 —— 定期用 OWASP ZAP / sqlmap / Burp 做扫描并修复漏洞

5. 监控/告警 —— 日志、入侵检测、异常请求告警

二、推荐安装的软件/服务（按用途分组）

必装（强烈推荐）

ModSecurity + OWASP CRS（规则集）（适用于 Apache / Nginx via ModSecurity） —— 开箱即用，阻挡常见注入/恶意 payload

数据库最小权限配置（不算软件，但必须做） —— 单独建写文章/读文章的账号并限制权限和来源 IP

代码静态扫描 / SAST：SonarQube 或 Phan/Psalm（PHP 静态分析） —— 提早发现可注入点

强烈建议（防护增强）

NAXSI（Nginx 模块） 或 lua-resty-waf（OpenResty） —— 如果主要是 Nginx 环境，可以用这些轻量 WAF 代替/mod_security

Cloud WAF / CDN（Cloudflare、阿里云/腾讯云 WAF） —— 抵抗大流量攻击并在边缘阻断 SQLi、XSS 等

依赖漏洞扫描：composer audit、OWASP Dependency-Check

渗透测试 / 工具（用于检测与验证）

OWASP ZAP（自动化扫描）

sqlmap（用于安全测试 SQL 注入点）

Burp Suite (Community/Pro)

三、代码层面最关键的防注入措施（示例）

1) 在 PHP（PbootCMS 二次开发）中始终使用 PDO 参数化查询

// 推荐：PDO + 参数绑定 + 关闭模拟预处理

$pdo = new PDO("mysql:host=127.0.0.1;dbname=yourdb;charset=utf8mb4", "user", "pass", [

   PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,

   PDO::ATTR_EMULATE_PREPARES => false, // 关键：使用真实预处理

]);

$stmt = $pdo->prepare("INSERT INTO posts (title, content, author_id) VALUES (:t, :c, :a)");

$stmt->execute([

   ':t' => $title,   // 这些变量必须先做白名单/长度校验

   ':c' => $content,

   ':a' => $authorId,

]);

重要：不要把用户数据直接拼到 SQL 字符串里（"... where id=$id"）。

2) 输入校验（白名单优于黑名单）

数字：intval() 或 使用 filter_var($v, FILTER_VALIDATE_INT)

枚举值：只允许 in_array($v, ['a','b','c'], true)

长度/字符集：限制最大长度、使用正则白名单（例如用户名只允许 [A-Za-z0-9_.-]）

3) 输出转义（防 XSS）

HTML 输出使用 htmlspecialchars($s, ENT_QUOTES | ENT_SUBSTITUTE, 'UTF-8')

模板层统一负责输出编码

4) 禁用危险函数（但注意业务需要）

PHP 禁用 exec, shell_exec, system 等（若有必要功能则慎重处理）

5) 数据库交互原则

DB 用户最小权限（写文章的用户只需要 insert/update/delete 对应表）

不给 DROP/ALTER 等高危权限给应用账号

限制 DB 主机白名单（仅允许 127.0.0.1 或内网 IP）

四、WAF / 具体软件推荐 + 配置建议

ModSecurity + OWASP CRS

为何：成熟、社区规则丰富，能阻止常见 SQLi、XSS、RCE payload。

建议配置：部署后先用“检测（Detection Only）”模式观察日志，调整误报后切换到“阻断（On）”。把 PbootCMS 后台路径（如 /admin.php）与静态生成接口加入规则白名单或例外条件（只在必要时放宽）。

NAXSI / lua-resty-waf

为何：对 Nginx 更友好，性能开销低。适合大流量站点或 Nginx-only 环境。

宝塔内置 btwaf（如果你在用宝塔）

使用时先观察日志和放白名单后台路径；如果误报多考虑改用 ModSecurity 或云 WAF。

云 WAF / CDN（Cloudflare / 阿里 / 腾讯）

很适合抵御 SQLi + DDoS 的组合攻击。把网站接到 Cloudflare（或云厂商）后可在 CDN 层先拦截大量扫描与注入尝试。

五、检测与演练（必须做）

自动化扫描：定期用 OWASP ZAP、Nikto、sqlmap 扫描（在非高峰、测试环境先跑）

渗测：对关键页面（登录、后台、文章发布）做黑盒渗透测试

日志监控：Web 日志/应用日志中监测大量带 ' OR 1=1 --、union select、benchmark( 等特征的请求并告警

六、实用配置片段（HTTP 安全头）

在 Nginx 配置里加：

add_header X-Frame-Options SAMEORIGIN;

add_header X-Content-Type-Options nosniff;

add_header Referrer-Policy "no-referrer-when-downgrade";

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline';";

（CSP 根据站点资源调整，不要直接复制导致资源阻断）

七、测试命令（仅做检测用途）

快速检测 SQLi（测试环境）：

sqlmap -u "https://example.com/post.php?id=1" --batch --level=2 --risk=1

（千万别对生产环境盲测，先在镜像/测试站跑）

八、常见误区（提醒）

依赖 WAF 不能代替代码修复。WAF 是补刀、不是根治。

规则越严格误报越多——生产环境必须先“观察模式”再上线阻断。

ORM/框架也会有漏洞，仍需输入校验/输出转义。

禁用函数不是万能：若业务需要某些函数，需用其他方式加强隔离（容器/最小权限）。

九、给你的快速行动清单（可直接做）

1. 代码层：把所有 DB 操作改为 PDO + 参数化（优先），并做输入白名单校验。

2. 权限：创建最小权限 DB 用户，只允许来自本机/内网。

3. 部署 ModSecurity + OWASP CRS（检测模式），或启用宝塔 btwaf 的“观察”模式，查看拦截日志。

4. 在 WAF 中对白名单 /admin.php、静态生成接口做例外（先观察再放行）。

5. 使用 OWASP ZAP 做一次全面扫描并修复高危点。

6. 部署日志告警（发现大量 SQLi 特征立即告警）。

如果需要，我现在可以为你做其中任意一项（我会一步到位给出可复制的配置/代码）：

生成PDO 改写示例（把你某个具体旧 SQL 给我，我直接改成安全版）；

给出ModSecurity 安装与开启 OWASP CRS 的命令与示例（适用于宝塔/Ubuntu/CentOS）；

或者一键检测脚本：检测 disabled_functions、检测 chattr 锁、扫描日志里是否有 WAF 拦截记录、并列出可能的被拦路径。