3.2 设置 8

3.3 路径设置8

3.4 持续时间 8

3.5 设置 8

3.6 固定 9

3.7 CSRF 9

4. 9

4.1 明文存储密码 9

4.2 弱密码加密9

4.3 密码存储在攻击者可访问的文件中 9

5.认证授权10

5.1用户认证10

5.2 未经身份验证的函数或文件调用 10

5.3 密码硬编码 10

6. 函数 10

6.1 rand() 10

6.2 () 和 () 11

7.特殊字符和多字节编码11

7.1多字节编码11

8.PHP危险函数11

8.1缓冲区溢出11

8.2()删除文件漏洞12

8.3 ()- 漏洞 12

9.信息泄露 13

9.1 13

10. PHP 环境 13

10.1 设置 13

10.2 设置 13

10.3 设置 13

10.4 设置 14

10.5 设置 14

10.6 设置 14

10.7 设置 14

10.8 d 设置 14

10.9 设置 14

10.10 设置 14

概述

代码审查是系统地检查应用程序源代码的工作。它的目的是找到并修复应用程序

应用程序开发阶段存在一些漏洞或程序逻辑错误，避免程序漏洞被非法使用，给企业带来不必要的使用

所需的风险。

代码审查不仅仅是检查代码。审查代码的目的是为了确保代码可以安全地访问信息和资源。

足够的保护php代码审核，所以熟悉整个应用的业务流程对于控制潜在风险非常重要。审稿人

您可以使用类似于以下的问题来采访开发人员以收集应用程序信息。

应用程序中包含什么类型的敏感信息，应用程序如何保护这些信息？

应用程序是在内部还是外部提供服务？谁会使用它，他们都是值得信赖的用户吗？

应用程序部署在哪里？

应用程序对业务重要吗？

最好的方法是制作一个，让开发者填写。可以更直观的体现应用

开发者提供的信息和编码是安全的，应该覆盖可能存在严重漏洞的模块php代码审核，例如：数据验证、身份

身份验证、会话管理、授权、加密、错误处理、日志记录、安全配置、网络架构。

输入验证和输出显示

大部分漏洞主要是由于无法验证输入数据的安全性或输出数据无法通过安全的地方造成的

更严格的数据验证方式是：

完全匹配数据

接受白名单数据

拒绝列入黑名单的数据

对匹配黑名单的数据进行编码

用户可以在PHP中输入的变量列表如下：

$

$_GET

$

$

$

$

$_ENV