PHP代码审计1-审计环境与调试函数

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP代码审计1-审计环境与调试函数相关的知识,希望对你有一定的参考价值。

审计环境与调试函数

审计环境

测试环境

常用集成环境:phpStudyWampServer

#不同的操作系统下,漏洞测试的结果也可能不一样

 

php编写工具

EditPlu

Notepad++

 

代码审计工具

Seay

 

代码审计平台

DVWA(注:windows下,需要将配置文件中的password改为空)

ZVulDrill  (注:需要重新导入数据库文件)

 

漏洞验证辅助工具

Burp Suite

浏览器扩展(Hack Bar、Firebug、Modify)

正则调试工具

SQL执行监控工具

 

常用的调试函数

echo()  输出函数,一般用来输出变量值,或者你不确定程序执行到哪个分支时使用  等同于print()

print_r()  用来输出数组和对象数据,一般在查看接口返回值,或某些不太确定变量的时候使用。如果想捕捉 print_r() 的输出,可使用 return 参数

var_dump()  打印变量相关内容,包括数据类型

var_export()  输出或返回变量的字符串表示,可直接赋值使用  #注:其对于资源型的变量会输出NULL

debug_zval_dump   输出结果跟var_dump类似,可记录一个变量被引用了多少次【php的copy on write机制的一个重要特点】

exit()  退出函数,终止页面运行

 

单引号跟双引号的区别

双引号会解析变量和特殊字符(所以表达文本时,需转义)

单引号不解析变量,其内的所有字符只是文本

 

以上是关于PHP代码审计1-审计环境与调试函数的主要内容,如果未能解决你的问题,请参考以下文章

macOS 下优雅地配置 PHP 代码审计环境

当前市面上的代码审计工具哪个比较好?

PHP代码审计入门(敏感函数回溯参数过程)

php代码审计4审计代码执行漏洞

PHP代码审计18—PHP代码审计小结

代码审计思路之PHP代码审计