PHP代码审计
转: http://www.sectop.com/?p=111 2011 年 2 月 13 日 文档去年做的,按说应该更新了,写得不咋好,有些没写全,参考了很多文档。 话说owasp codereview,也该出2.0了。 牛们路过,给提点建议。 目录 1. 概述 3 2. 输入验证和输出显示 3 2.1 命令注入 4 2.2 跨站脚本 4 2.3 文件包含 5 2.4 代码注入 5 2.5 SQL 注入 6 2.6 XPath 注入 6 2.7 HTTP 响应拆分 6 2.8 文件管理 6 2.9 文件上传 7 2.10 变量覆盖 7 2.11 动态函数 7 3. 会话安全 8 3.1 HTTPOnly 设置 8 3.2 domain 设置 8 3.3 path 设置 8 3.4 cookies 持续时间 8 3.5 secure 设置 8 3.6 session 固定 9 3.7 CSRF 9 4. 加密 9 4.1 明文存储密码 9 4.2 密码弱加密 9 4.3 密码存储在攻击者能访问到的文件 9 5. 认证和授权 10 5.1 用户认证 10 5.2 函数或文件的未认证调用 10 5.3 密码硬编码 10 6. 随机函数 10 6.1 rand() 10 6.2 mt_srand() 和 mt_rand() 11 7. 特殊字符和多字节编码 11 7.1 多字节编码 11