tp5index.php隐藏失效

近日，一些网站的开发者发现了一个问题——使用TP5框架开发的网站中，tp5index.php是如何隐藏文件的一道防护措施已经失效了。在这篇文章中，我们将会探讨这个问题的背后原因以及如何修复这个漏洞。

首先，我们需要理解什么是tp5index.php。tp5index.php是TP5框架默认入口文件，该文件在未做任何处理的情况下，可以通过URL直接访问到网站的根目录。这就给黑客带来了巨大便利，在该文件存在的情况下，通过该文件可以极易地定位到网站的根目录，从而有可能发起后续的攻击。

为了防止这种攻击，TP5的开发者们想出了一个办法——把tp5index.php文件隐藏起来。具体操作如下：

1.复制tp5index.php文件并改名为index.php

2.在新复制的index.php文件中添加下面一句代码：

<?php
//定义变量以便于跳转时识别
define('APP_DEBUG', false);
define('APP_PATH', './application/');
//隐藏tp5index.php
define('BUILD_DIR_SECURE', true);
// 加载框架引导文件
require __DIR__ . '/../thinkphp/start.php';

3.把原来的tp5index.php文件删除即可

如此，黑客将无法通过URL访问到tp5index.php文件，也就无法得到网站的根目录路径，则网站的安全性便得到了增加。

然而，最近有开发者发现，即使把tp5index.php隐藏起来，黑客仍然通过URL可以访问到隐藏的tp5index.php文件。这是为何呢？

其实这个问题出在Nginx配置上，Nginx默认会处理所有以.php为后缀名的文件，因此tp5index.php文件即使被隐藏也会被Nginx识别并处理。为了修复这个问题，我们需要在Nginx配置文件中加入以下代码：

location ~ .php$ {
    if ($request_uri ~* "tp5index.php") {
        return 404;
    }
    fastcgi_pass   127.0.0.1:9000;
    fastcgi_index  index.php;
    fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
    include        fastcgi_params;
}