PHPWAF规则添加与自定义配置教程

本篇文章向大家介绍《PHPWAF规则添加方法及自定义配置教程》，主要包括，具有一定的参考价值，需要的朋友可以参考一下。

PHPWAF自定义规则须手动编辑/usr/local/phpwaf/rules/下以.rule为后缀的文件，每条SecRule独占一行，ID需全局唯一，修改后需systemctl restart phpwaf生效。

PHPWAF 的自定义规则不能通过 Web 界面直接添加，必须手动编辑配置文件；否则规则不会加载，也看不到任何报错提示。

PHPWAF 规则文件位置和命名规范

规则文件需放在 /usr/local/phpwaf/rules/ 目录下（路径取决于你的安装方式），且必须以 .rule 为后缀。常见默认规则如 sql_inject.rule、xss.rule 都在此目录。

• 文件名建议用小写字母+下划线，避免空格或特殊符号
• 多个规则可写在一个文件里，但每条规则必须独占一行，且以 SecRule 开头
• 修改后需重启 PHPWAF 服务（如 systemctl restart phpwaf）才生效

自定义规则语法要点（基于 ModSecurity 2.x 语法）

PHPWAF 底层使用的是 ModSecurity 2.x 兼容引擎，不支持 ModSecurity 3 的 SecRuleEngine On 这类新语法。最简可用的规则结构是：

SecRule ARGS "@rx (?i)union\s+select" "id:1001,rev:1,tag:'OWASP_CRS',msg:'SQL Injection Detected',deny,status:403"

• ARGS 表示匹配所有 GET/POST 参数值，也可换为 REQUEST_HEADERS、REQUEST_BODY 等
• @rx 后接 PCRE 正则，注意大小写敏感性，默认区分大小写，加 (?i) 可忽略
• id: 必须全局唯一，重复 ID 会导致规则加载失败（但无提示）
• deny 是最常用动作，也可用 log,pass 或 block，但 block 在 PHPWAF 中等价于 deny

测试规则是否生效的实用方法

别只靠访问页面看 403 —— 很多时候规则没加载成功，或者正则根本没匹配上。推荐三步验证：

• 执行 phpwaf -t（部分版本支持）或检查日志：tail -f /var/log/phpwaf/error.log，有规则语法错误会在这里报出
• 在规则中临时加入 log,auditlog 动作，并确认 AuditLog 已在主配置中启用
• 用 curl 构造明确触发的请求，例如：curl "http://localhost/test.php?a=1%20union%20select"，观察响应状态码和日志时间戳是否同步

最容易被忽略的是规则 ID 冲突和正则末尾缺少转义 —— 比如匹配 select * 时写成 @rx select \*，实际要写成 @rx select\ \* 或 @rx select\s+\*，否则星号会被 shell 解析或正则引擎忽略。

终于介绍完啦！小伙伴们，这篇关于《PHPWAF规则添加与自定义配置教程》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！