PHP代码审计怎么学_深入解析PHP代码审计方法

PHP代码审计的本质不是死记函数列表，而是精准追踪用户输入（如$_GET、$_POST、$_COOKIE）如何未经校验地流入eval、system、unserialize、include等四大危险函数——一旦形成可控的数据流，后门便已悄然打开；高效审计需以grep快速定位可疑调用点，人工验证参数可控性，同时警惕filter_input等“伪安全”陷阱、反序列化中Cookie/缓存/Base64解码等隐蔽入口，以及php.ini中display_errors、allow_url_include等配置项带来的致命攻击面；真正的能力提升，源于在真实项目中反复实践、验证与绕过，培养对危险链路的本能敏感度。

PHP代码审计不是学函数列表，而是盯住用户输入怎么流进危险操作——eval、system、unserialize、include 这四类函数一旦接了 $_GET、$_POST、$_COOKIE 或未校验的文件内容，基本就等于开了后门。

从哪几行代码开始看，效率最高

别通读源码。直接用 grep 扫描以下模式，人工确认参数是否可控：

• eval(、create_function(：重点看括号内是否拼接了 $_GET 或 base64_decode($_POST['x'])
• unserialize(：只要参数来自 $_COOKIE、file_get_contents($cache) 或 base64_decode($_GET['p'])，立刻标记
• include(、require(：检查变量是否含 ../、:80、http://；allow_url_include=On 时 include($_GET['f']) 就是 RFI
• system(、exec(、shell_exec(：看有没有漏掉 escapeshellarg()，尤其注意 escapeshellcmd() 和 escapeshellarg() 混用——前者不保护空格，后者不防命令拼接

为什么 filter_input() 常被误认为“已过滤”

filter_input() 只做一次校验或清洗，它不改变后续变量的使用方式，也不阻止你把校验过的值丢进危险函数。

• 错误写法：$id = filter_input(INPUT_GET, 'id', FILTER_VALIDATE_INT); system("ls -l /var/log/{$id}"); —— 攻击者传 id=1;cat%20/etc/passwd，filter_input 返回 false，但 PHP 字符串拼接会把 false 转成空字符串，最终执行 ls -l /var/log/，后面仍可追加命令
• 更隐蔽的坑：$a = filter_input(INPUT_GET, 'x', FILTER_SANITIZE_SPECIAL_CHARS); $b = $_GET['x']; system($b); —— $a 安全，$b 完全不受控，且容易被忽略
• FILTER_SANITIZE_STRING 在 PHP 8.1+ 已弃用；它删 HTML 标签但不清理属性， 中的 onerror 保留原样

反序列化漏洞最该盯死的三个位置

所有 unserialize() 调用点都必须人工确认数据来源，尤其警惕“看似可信”的上下文：

• unserialize($_COOKIE['user_data'])：Cookie 可被任意伪造，user_data 不是“自己写的”就安全
• $data = file_get_contents($cache_file); unserialize($data);：缓存文件若被日志写入、上传覆盖或目录遍历污染，反序列化即触发
• $payload = base64_decode($_GET['p']); unserialize($payload);：Base64 解码只是障眼法，$_GET['p'] 仍是完全可控入口

配置项比业务代码更容易暴露攻击面

很多高危漏洞根本不出现在你写的 PHP 文件里，而是由 php.ini 实际生效项决定的：

• display_errors = On：把 SQL 报错、路径、类名、函数调用栈直接打到页面，等于给攻击者发地图
• allow_url_include = On：打开远程文件包含（RFI）开关，include($_GET['m']) 就能拉取攻击者服务器上的恶意脚本
• open_basedir 未设置或为空：意味着 file_get_contents('/etc/passwd') 这类路径遍历可直达系统文件
• expose_php = On：HTTP 响应头带 X-Powered-By: PHP/8.2.12，暴露版本，方便匹配已知 CVE

真正卡住人的从来不是看不懂 unserialize() 的语法，而是看到 call_user_func($_GET['c'], $_GET['a']) 时，没意识到 $_GET['c'] 可以是 system、file_put_contents，甚至某个类的 __destruct 方法——这种链路敏感度，只能靠反复在真实项目里定位、验证、绕过，才能长出来。

今天关于《PHP代码审计怎么学_深入解析PHP代码审计方法》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！