普遍的都是php网站安全的代码审计，相近java架构，asp.net，python的Django還是有系统漏洞这类的，仅仅较为固定不动和稀缺；像php这类語言自身就是说弱語言种类（许多 点都运用了弱种类较为和变换），作用涵数都是奇多（造成了其与sql，xml等語言的花样组成），加上解决一个难题的方式都是奇多（在其中就难以保住不容易出現系统漏洞）自然php的thinkphp架构，还有机会来（这个架构就安全系数沒有别的几类語言那麼强的安全防范措施，反转还有一个烂街道的log写webshell的疑难问题，及其近期特火的远程控制程序运行）

1 专用工具和普遍的几类观念

1 专用渗透测试工具

这儿我详细介绍2款完全免费常见的财务审计专用工具和一款php撰写调节专用工具

1.Seay源代码审计系统软件

下载链接：https://www.waitalone.cn/seay-source-code-auditv2.html

2.（PHP代码审计专用工具——rips）

下载链接:https://sourceforge.net/projects/rips-scanner/

使用方法:https://www.cnblogs.com/Jewel591/p/7477483.html

3.phpstorm

假如针对版本号没什么规定

立即依照http://www.3322.cc/soft/17468.html激话就可以

这个专用工具的调节运作，创作者還是多提示一点

.php等文档务必在www文件夹名称下，别的的搜一下就知道

4.xdebug

这个debug临时都还没用，但是看诸位老前辈常常采用，特明确提出来

2几类普遍的财务审计观念

实际上本人觉得就二种，由说破面，由面破点。自然也有

1.由说破面

依据工作经验和专用工具找系统漏洞关键字，来追溯启用全过程，看是不是可控性，可控性后看启用的键入通道。假如单独可控性标准考虑我们的规定，可是没法执行系统漏洞开启，再全局性看看哪有考虑我们标准的地区，组成起來开启。在其中采用我们的专用工具Seay源代码审计专用工具

2.由面破点

细读全篇，梳理疏忽，再依据难题关键字，勾勒相匹配部位 ---英文阅读

深层次了解一套CMS源代码就这样

3.假如追求完美速率，那麼毫无疑问第一种最好是，都是新手入门优选，临时只致力于难题地区（创作者现阶段都是用的第一种）

2普遍的点

这儿也不写这些有的没的了，只详尽得出创作者觉得本人现阶段环节财务审计发掘常见的点

1强烈推荐学习培训服务器安全

1.php普遍系统漏洞

2.php普遍系统漏洞涵数

3.有一个代码审计的新项目蛮趣味的，https://github.com/hongriSec/PHP-Audit-Labs，都是创作者近几天在学习培训的內容

4.这儿還是想强烈推荐sqli-labs引入残卷，由于财务审计中存有许多 硬刚sql引入的正则表达式避过

5.还可以参照创作者的个人网站小结

http://47.106.140.244/2018/09/%e5%88%9d%e6%8e%a2php%e5%ae%a1%e8%ae%a1/

http://47.106.140.244/category/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/

2归类

过多，看起来松垮，过少，看起来不走心，因此这儿创作者把知识要点归类（阅读者还可以自身去找下逻辑思维图）

归类

0.安全防护类

1.sql引入

2.编码或指令实行

3.文档实际操作

4.别的类

5.别的的状况

0.安全防护类

先把它独立拉出去解析，总没有错

sql，xss过虑涵数这些

不外乎看一下正则表达式过虑，preg_replace，replace这些

实际的避过，下边解析。

1.SQL引入类

这一难题，创作者不断想想下，主临时分成三类