php代码审计与YII框架

php代码审计

工具：phpstorm + seay源代码审计系统

phpstorm 高效审计快捷键：
Ctrl + G                     行号跳转
Ctrl + Alt + <-/->     跳转返回/前进
Ctrl + 点击                 查找函数/类/变量，定义或者使用
Ctrl + Shift + F          全局搜索字符串
Ctrl + Shift + N         全局搜索文件名

url路由：
1. apache，nginx等web服务器的配置实现路由，例如：
    rewrite ^/([^/]+)/([^/]+)/.* /$1/$2/index.php last;
 
^/    :  以/开头
([^/]+)：分组$1，不是/的任意多个字符
([^/]+)：分组$2，不是/的任意多个字符
.*    ： 任意多个字符

2. 通过程序代码进行url路由


sql注入防御：
1. PDO需要对用户输入参数进行bind
2. AR

参考链接：
1. YII框架的sql注入测试，与防范方法
2. Yii2中如果你这么写，可能造成sql注入漏洞
3. YII2安全之SQL注入和XSS攻击
4. Class yii\db\Connection，YII 2.0官方文档，有防注入的介绍
5. YII源码分析
6. 深入理解Yii2.0
-----------------------
7. Yii防止sql注入、xxs方法
8. 活动记录（Active Record）
-----------------------
9. 高级PHP应用程序漏洞审核技术