php代码审计
工具:phpstorm + seay源代码审计系统
phpstorm 高效审计快捷键:
Ctrl + G 行号跳转
Ctrl + Alt + <-/-> 跳转返回/前进
Ctrl + 点击 查找函数/类/变量,定义或者使用
Ctrl + Shift + F 全局搜索字符串
Ctrl + Shift + N 全局搜索文件名
url路由:
1. apache,nginx等web服务器的配置实现路由,例如:
rewrite ^/([^/]+)/([^/]+)/.* /$1/$2/index.php last;
^/ : 以/开头
([^/]+):分组$1,不是/的任意多个字符
([^/]+):分组$2,不是/的任意多个字符
.* : 任意多个字符
2. 通过程序代码进行url路由
sql注入防御:
1. PDO需要对用户输入参数进行bind
2. AR
参考链接:
1. YII框架的sql注入测试,与防范方法
2. Yii2中如果你这么写,可能造成sql注入漏洞
3. YII2安全之SQL注入和XSS攻击
4. Class yii\db\Connection,YII 2.0官方文档,有防注入的介绍
5. YII源码分析
6. 深入理解Yii2.0
-----------------------
7. Yii防止sql注入、xxs方法
8. 活动记录(Active Record)
-----------------------
9. 高级PHP应用程序漏洞审核技术
