代码审计学习笔记

本文详细介绍了PHP的核心配置,包括PHP_INI_*常量、register_globals、allow_url_include等,强调了它们的安全影响。此外,还提到了代码审计的重要性,推荐了审计工具如Notepad++和Seay代码审计系统,并分享了审计思路,如根据关键词回溯参数传递过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 PHP核心配置讲解

PHP_INI_*常量的定义
  • PHP_INI_USER
    该配置可在用户的PHP脚本或window注册表设置
  • PHP_INI_PERDIR
    该配置可在php.ini .htaccess或httpd.conf中设置
  • PHP_INI _SYSTEM
    该配置可在php.ini 或httpd.conf中设置
  • PHP_INI _ALL
    该配置可在任何地方设置
  • PHP.INI ONLY
    该配置仅可在php.ini中设置
register_globals(全局变量注册开关)
  • 设置为on的情况下,会直接把用户GET,POST等方式提交上来的参数设置为全局变量并初始化为参数对应的值,使得提交参数可以直接在脚本中使用
  • php版本小于等于4.2.3时设置为on,5.3.0被废弃,php版本5.4.0时移除该项
allow_url_include(是否允许包含远程文件)
  • 当存在include($var)且$var可控时,可直接控制$var变量来执行php代码。此配置在php5.2.0后默认关闭。与之类似配置有allow_url_fopen,配置是否允许打开远程文件
magic_quotes_gpc(魔术引号自动过滤)
  • 配置为on时,会自动在GET,POST,COOKIE变量中的 (单引号)’ 、(双引号)" 、(反斜杠) \ 、空字符(NULL)的前面加上反斜杠()
    但ph
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值