PHP代码审计：常见漏洞检测

php代码审计应从配置安全、输入验证、输出编码等10个方面入手。①检查php.ini关闭register_globals和display_Errors；②所有用户输入需严格过滤；③输出到html或数据库时分别进行html编码和sql转义；④记录错误日志但不暴露敏感信息；⑤设置https及安全Cookie选项；⑥限制上传文件类型并重命名；⑦避免使用eval等危险函数；⑧使用预处理语句防止sql注入；⑨对输出数据进行上下文编码；⑩利用静态分析工具提高效率，同时人工复核确保准确性。

PHP代码审计，简单来说，就是检查你的PHP代码，看看有没有安全漏洞。这事儿很重要，不然你的网站可能就被黑了，数据被盗，甚至直接瘫痪。

代码审计也不是说非得是安全专家才能做，了解一些常见的漏洞类型，再配合一些工具，你自己也能发现不少问题。

PHP代码审计：常见漏洞检测

立即学习“PHP免费学习笔记（深入）”；

如何开始PHP代码审计？从哪里入手？

开始代码审计，我觉得最重要的是先了解你的项目。项目的架构、功能模块、使用的框架和第三方库，都要心里有数。然后，你可以从以下几个方面入手：

1. 配置安全： 检查php.ini，看看有没有开启register_globals，这个必须关掉，不然太危险了。还有display_errors，生产环境一定要关掉，不然会泄露服务器信息。safe_mode和open_basedir也可以考虑配置，增加安全性。

2. 输入验证： 这是重中之重！所有来自用户的输入，都要经过严格的验证和过滤。包括GET、POST、COOKIE、REQUEST等等。不要相信任何用户的输入！

3. 输出编码： 输出到HTML页面时，要进行HTML编码，防止xss攻击。输出到数据库时，要进行SQL转义，防止SQL注入。

4. 错误处理： 错误处理要做好，但不要泄露敏感信息。可以记录错误日志，方便调试和排查问题。

5. 会话管理： 会话管理要安全，使用https，设置Session.cookie_secure和session.cookie_httponly，防止会话劫持。

6. 文件上传： 文件上传要严格限制文件类型，不要允许上传可执行文件。上传后的文件要重命名，防止覆盖已有文件。

7. 代码执行： 避免使用eval()、system()、exec()等危险函数，如果必须使用，要进行严格的参数控制。

当然，这只是一个大致的框架，具体还要根据你的项目情况来调整。

PHP代码审计中，SQL注入漏洞如何高效检测？

SQL注入，绝对是PHP代码审计的重点。很多网站被黑，都是因为SQL注入。

检测SQL注入，可以从以下几个方面入手：

1. 查找所有SQL查询： 使用代码搜索工具，查找所有的SQL查询语句，包括mysql_query()、mysqli_query()、pdo的query()、prepare()等等。

2. 检查参数来源： 检查SQL查询语句中的参数，看它们是否来自用户的输入。如果是，就要特别小心。

3. 检查过滤： 检查是否对参数进行了过滤。常用的过滤函数有mysql_real_escape_string()、mysqli_real_escape_string()、PDO的quote()等等。但是，仅仅使用这些函数是不够的，还需要根据具体的数据库类型和字符集进行调整。

4. 使用预处理语句： 强烈建议使用预处理语句（Prepared Statements），这是防止SQL注入的最有效方法。预处理语句可以将sql语句和参数分开处理，避免参数被解析成SQL代码。

   // 使用PDO预处理语句 $stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password"); $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); $stmt->execute();

5. 模糊测试： 使用SQL注入的payload进行模糊测试，看看是否能绕过过滤。常用的payload可以从网上找，也可以自己构造。

   例如，可以尝试以下payload：

   ' OR '1'='1 " OR "1"="1 ; DROP TABLE users;

6. 静态分析工具： 使用静态分析工具，如RIPS、PHPStan等，可以自动检测SQL注入漏洞。这些工具可以分析代码的结构和数据流，找出潜在的安全问题。

   # 使用RIPS进行静态分析 rips --scan /path/to/your/code

记住，SQL注入的检测是一个持续的过程，需要不断学习新的攻击技术和防御方法。

XSS跨站脚本漏洞在PHP代码审计中如何发现和修复？

XSS（Cross-Site Scripting）跨站脚本漏洞也是PHP代码审计中需要重点关注的。XSS攻击者可以在你的网站上注入恶意脚本，盗取用户cookie，甚至控制用户的浏览器。

发现XSS漏洞，主要看输出。

1. 查找所有输出点： 查找所有将数据输出到HTML页面的地方，包括echo、print、printf、= ?>等等。

2. 检查数据来源： 检查输出的数据是否来自用户的输入。如果是，就要特别小心。

3. 检查编码： 检查是否对输出的数据进行了HTML编码。常用的编码函数有htmlspecialchars()、htmlentities()等等。

   // 使用htmlspecialchars()进行HTML编码 echo htmlspecialchars($username, ENT_QUOTES, 'UTF-8');

4. 上下文编码： 根据输出的上下文，选择合适的编码方式。例如，在HTML标签内部，可以使用HTML编码；在JavaScript代码中，可以使用JavaScript编码；在URL中，可以使用URL编码。

5. 内容安全策略（CSP）： 使用CSP可以限制浏览器加载外部资源，防止XSS攻击。CSP需要在HTTP响应头中设置。

   Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'

6. 过滤特殊字符： 除了编码，还可以过滤一些特殊字符，如、”、’等等。

7. 使用模板引擎： 一些模板引擎，如Twig、Smarty等，会自动进行HTML编码，可以减少XSS漏洞的风险。

修复XSS漏洞，最重要的是对所有用户输入进行严格的验证和过滤，并对所有输出进行合适的编码。

文件上传漏洞：PHP代码审计的常见陷阱

文件上传漏洞，也是PHP代码审计中一个常见的陷阱。如果允许用户上传任意文件，攻击者可以上传恶意脚本，甚至控制服务器。

检测和修复文件上传漏洞，可以从以下几个方面入手：

1. 限制文件类型： 严格限制允许上传的文件类型，只允许上传必要的文件类型。可以使用白名单机制，只允许上传指定的文件类型。

   $allowed_types = array('jpg', 'jpeg', 'png', 'gif'); $file_ext = strtolower(pathinfo($_FILES['file']['name'], PATHINFO_EXTENSION)); if (!in_array($file_ext, $allowed_types)) {     die('Invalid file type'); }

2. 验证文件类型： 除了检查文件扩展名，还要验证文件的MIME类型。可以使用mime_content_type()函数或exif_imagetype()函数来验证文件类型。

   $mime_type = mime_content_type($_FILES['file']['tmp_name']); if ($mime_type != 'image/jpeg' && $mime_type != 'image/png') {     die('Invalid file type'); }

3. 重命名文件： 上传后的文件要重命名，可以使用随机字符串或哈希值作为文件名，防止覆盖已有文件。

   $new_file_name = md5(uniqid(rand(), true)) . '.' . $file_ext;

4. 保存目录： 上传的文件要保存到独立的目录，不要保存到Web根目录或可执行目录。

5. 禁用执行权限： 上传的文件要禁用执行权限，可以使用.htaccess文件或服务器配置来禁用执行权限。

   # .htAccess <Files *>     deny from all </Files>

6. 文件大小限制： 限制上传的文件大小，防止上传过大的文件。

   if ($_FILES['file']['size'] > 1024 * 1024) { // 1MB     die('File size too large'); }

7. 检查上传错误： 检查$_FILES[‘file’][‘error’]，处理上传错误。

   if ($_FILES['file']['error'] != UPLOAD_ERR_OK) {     die('Upload error: ' . $_FILES['file']['error']); }

总之，文件上传漏洞的防御需要多方面的措施，不能只依赖于单一的防御手段。

如何利用工具辅助PHP代码审计？

人工审计很耗时，而且容易遗漏。所以，利用工具辅助审计，可以大大提高效率和准确性。

1. 静态分析工具：

   • RIPS: 专门用于PHP代码审计的静态分析工具，可以自动检测SQL注入、XSS、代码执行等漏洞。
   • PHPStan: PHP静态分析工具，可以检查代码中的类型错误、未定义变量等问题，提高代码质量。
   • SonarQube: 代码质量管理平台，可以分析多种语言的代码，包括PHP，可以检测代码中的安全漏洞、代码异味等问题。

2. 动态分析工具：

   • OWASP ZAP: 开源的Web应用程序安全测试工具，可以进行SQL注入、XSS等漏洞的扫描。
   • Burp Suite: 商业的Web应用程序安全测试工具，功能强大，可以进行各种漏洞的扫描和利用。

3. 代码搜索工具：

   • grep: linux下的文本搜索工具，可以快速查找代码中的关键字。
   • ack: 比grep更适合代码搜索的工具，可以忽略版本控制目录和二进制文件。

4. ide插件：

   • phpstorm: 强大的PHP IDE，有很多安全相关的插件，可以辅助代码审计。
   • VS Code: 轻量级的代码编辑器，也有很多安全相关的插件。

选择合适的工具，可以大大提高代码审计的效率。但是，工具只是辅助，最终还是要靠人工进行分析和判断。

远程代码执行漏洞（RCE）在PHP代码审计中如何避免？

远程代码执行（RCE）漏洞，一旦被利用，攻击者可以直接控制服务器，后果非常严重。

避免RCE漏洞，最重要的是不要让用户能够执行任意代码。

1. 禁用危险函数： 在php.ini中禁用eval()、system()、exec()、shell_exec()、passthru()、proc_open()、popen()等危险函数。

   disable_functions = eval,system,exec,shell_exec,passthru,proc_open,popen

2. 严格控制参数： 如果必须使用system()、exec()等函数，要对参数进行严格的控制，防止用户注入恶意代码。

3. 避免使用unserialize()： unserialize()函数可以将序列化的数据反序列化成对象，如果序列化的数据包含恶意代码，可能会导致RCE漏洞。尽量避免使用unserialize()函数。如果必须使用，要对序列化的数据进行严格的验证。

4. 使用沙箱环境： 可以使用沙箱环境来限制代码的执行权限，防止代码执行恶意操作。

5. 代码审计： 定期进行代码审计，查找潜在的RCE漏洞。

RCE漏洞的防御是一个复杂的问题，需要从多个方面入手，才能有效地避免。

审计代码，就像医生看病，需要细心、耐心，找到病根，才能药到病除。希望这些建议能帮助你更好地进行PHP代码审计，保护你的网站安全。