3.2 設(shè)置 8

3.3 路徑設(shè)置8

3.4 持續(xù)時(shí)間 8

3.5 設(shè)置 8

3.6 固定 9

3.7 CSRF 9

4. 9

4.1 明文存儲密碼 9

4.2 弱密碼加密9

4.3 密碼存儲在攻擊者可訪問的文件中 9

5.認(rèn)證授權(quán)10

5.1用戶認(rèn)證10

5.2 未經(jīng)身份驗(yàn)證的函數(shù)或文件調(diào)用 10

5.3 密碼硬編碼 10

6. 函數(shù) 10

6.1 rand() 10

6.2 () 和 () 11

7.特殊字符和多字節(jié)編碼11

7.1多字節(jié)編碼11

8.PHP危險(xiǎn)函數(shù)11

8.1緩沖區(qū)溢出11

8.2()刪除文件漏洞12

8.3 ()- 漏洞 12

9.信息泄露 13

9.1 13

10. PHP 環(huán)境 13

10.1 設(shè)置 13

10.2 設(shè)置 13

10.3 設(shè)置 13

10.4 設(shè)置 14

10.5 設(shè)置 14

10.6 設(shè)置 14

10.7 設(shè)置 14

10.8 d 設(shè)置 14

10.9 設(shè)置 14

10.10 設(shè)置 14

概述

代碼審查是系統(tǒng)地檢查應(yīng)用程序源代碼的工作。它的目的是找到并修復(fù)應(yīng)用程序

應(yīng)用程序開發(fā)階段存在一些漏洞或程序邏輯錯(cuò)誤，避免程序漏洞被非法使用，給企業(yè)帶來不必要的使用

所需的風(fēng)險(xiǎn)。

代碼審查不僅僅是檢查代碼。審查代碼的目的是為了確保代碼可以安全地訪問信息和資源。

足夠的保護(hù)php代碼審核，所以熟悉整個(gè)應(yīng)用的業(yè)務(wù)流程對于控制潛在風(fēng)險(xiǎn)非常重要。審稿人

您可以使用類似于以下的問題來采訪開發(fā)人員以收集應(yīng)用程序信息。

應(yīng)用程序中包含什么類型的敏感信息，應(yīng)用程序如何保護(hù)這些信息？

應(yīng)用程序是在內(nèi)部還是外部提供服務(wù)？誰會使用它，他們都是值得信賴的用戶嗎？

應(yīng)用程序部署在哪里？

應(yīng)用程序?qū)I(yè)務(wù)重要嗎？

最好的方法是制作一個(gè)，讓開發(fā)者填寫?？梢愿庇^的體現(xiàn)應(yīng)用

開發(fā)者提供的信息和編碼是安全的，應(yīng)該覆蓋可能存在嚴(yán)重漏洞的模塊php代碼審核，例如：數(shù)據(jù)驗(yàn)證、身份

身份驗(yàn)證、會話管理、授權(quán)、加密、錯(cuò)誤處理、日志記錄、安全配置、網(wǎng)絡(luò)架構(gòu)。

輸入驗(yàn)證和輸出顯示

大部分漏洞主要是由于無法驗(yàn)證輸入數(shù)據(jù)的安全性或輸出數(shù)據(jù)無法通過安全的地方造成的

更嚴(yán)格的數(shù)據(jù)驗(yàn)證方式是：

完全匹配數(shù)據(jù)

接受白名單數(shù)據(jù)

拒絕列入黑名單的數(shù)據(jù)

對匹配黑名單的數(shù)據(jù)進(jìn)行編碼

用戶可以在PHP中輸入的變量列表如下：

$

$_GET

$

$

$

$

$_ENV