PHP security resource

最新推荐文章于 2025-09-12 13:16:34 发布

转载最新推荐文章于 2025-09-12 13:16:34 发布 · 71 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/superf0sh/p/5692655.html

文章标签：

#php

本文汇总了多个关于PHP安全的重要资源，包括PHP包管理、安全代码审计工具、安全漏洞解析文章、静态代码检测工具等，旨在帮助开发者提升PHP应用程序的安全性。

1 PHP包

http://pecl.php.net/packages.php

2 RIPS PHP安全代码审计

https://www.ripstech.com

3 PHP安全漏洞全解系列

http://www.cnblogs.com/milantgh/p/3839971.html

4 PHP静态检测

https://github.com/etsy/phan

http://pecl.php.net/package/tain （国内）

5 PHP程序安全漏洞挖掘

http://wenku.baidu.com/view/1ec30649998fcc22bdd10d81.html?re=view&pn=51

6 Essential PHP Security BOOK

http://phpsecurity.org/about

7 OWASP-PHP security

https://www.owasp.org/index.php/PHP_Security_Cheat_Sheet

8 phpsec （比较老）

http://phpsec.org/projects/guide/

9 碳基体 PHP常见漏洞与编码安全

http://vdisk.weibo.com/u/1093935355

转载于:https://www.cnblogs.com/superf0sh/p/5692655.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30292745

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

PHP WebShell 免杀

悦分享

08-01

7416

一般的，利用能够执行系统命令、加载代码的函数，或者组合一些普通函数，完成一些高级间谍功能的网站后门的脚本，叫做Webshell。而php做为一门动态语言，其灵活性很高，因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式，因此首先要了解Webshell是如何检测的。...

文件包含漏洞读取当前页面的源代码php://filter协议

tutuwanc的博客

12-05

1135

当我们的网址为“网址+/include.php?page=“或者“网址+/include.php?file=“，总之就是网址有文件包含我们可以利用来读取我们当前的页面代码，用base64解码来读取。这是一个file关键字的参数传递，对php://filter的解析。

参与评论您还未登录，请先登录后发表或查看评论

PHP-OSS：从STS获取SecurityToken

weixin_41429587的博客

06-24

2840

找了一个下午整理了一下步骤。首先开通阿里云OSS 然后创建bucket 接下来，创建子用户，如图：记住保存AccessKeyID和AccessSecret. 再来创建策略 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "oss:ListBuckets", "oss:Ge

CTF中php相关考点

meteox的博客

08-07

2638

以前在做CTF题的时候总是会遇到一些用php的trick才能过的题，知识点还是很杂的，主要是php这种动态弱类型语言实在是太灵活，各种奇葩写法也多，把之前的知识总结下。学长的博客有对php黑魔法进行了一些总结，我在此基础上进行拓展 https://skysec.top/2017/07/22/PHP%E5%87%BD%E6%95%B0%E9%BB%91%E9%AD%94%E6%B3%95%E5%B0%8F%E6%80%BB%E7%BB%93/#%E9%BB%91%E9%AD%94%E6%B3%95%E5%A

Mac安装PHP开发环境

热门推荐

03-19

1万+

MacOS下安装homebrew包管理器程序会自动安装，安装完成后，将PHP加入 $PATH 中配置php-fpm.conf PHP相关操作查看php-fpm是否启动成功二、安装nginx 安装成功结果Nginx 其它相关操作三、安装MySQL MySQL安全设置测试数据库是否安装成功，如下显示即为安装成功 MySQL相关操作四、整合Nginx+PHP+MySQL 1.创建配置文件的文件夹 2.修改nginx配置文件 nginx.conf 内容如下： 3.创建php-fpm配置文件输入以

SpringSecurity

qq_42640067的博客

01-26

9520

SpringSecurity1、前言2、Spring Security2.1、Spring Security简介2.1.1、安全框架2.1.2、常用安全框架2.1.3、关于Spring Security2.2、Spring Security入门2.3、UserDetailsService2.4、PasswordEncoder密码解析器2.5、自定义登录逻辑2.6、自定义登录页面2.7、自定义错误页面2.8、自定义用户名和密码参数名 1、前言以前对于安全框架不太熟悉，无论是Shiro还是Spring Sec

[转] PHP Security

heiyeluren的blog（黑夜路人的开源世界）

07-14

7098

国外非常有名的一篇论述PHP安全的文章，把目前PHP代码中安全问题，包括全局变量、会话劫持等问题都探讨了一下，非常值得学习。原文地址：http://shiflett.org/php-security.pdf作者：Chris Shiflett我把文本粘贴上来，不好看的话，建议去看pdf文件。-------------------------------------------------------

php smarty框架案例,php封装的smarty类案例

weixin_31640385的博客

03-23

470

这篇文章主要介绍了php封装的smarty类,针对Smarty的基本操作技巧进行了封装整理,具有一定参考借鉴价值,需要的朋友可以参考下具体如下：/*** Project: Smarty: the PHP compiling template engine* File: Smarty.class.php* SVN: $Id: Smarty.class.php 4848 2014-0...

常用php类库、资源

weixin_43863000的博客

06-11

2969

记得开心一点嘛的博客

07-17

1615

🔐 Spring Security 6.x + OAuth2 安全框架实战指南 🚀 本博客将带您全面掌握 Spring Security 6.x 安全框架与 OAuth2协议的深度整合应用！💪

nginx connect() to unix:/var/run/php-fpm.sock failed (11: Resource temporarily unavailable)

09-30

标题中的“nginx connect() to unix:/var/run/php-fpm.sock failed (11: Resource temporarily unavailable)”是一个常见的错误信息，这通常发生在Nginx尝试与PHP-FPM（FastCGI进程管理器）通信时，但遇到了资源暂时...

Pro PHP Security(Pro)

05-20

_Pro PHP Security_ is a valuable resource for developers looking to enhance the security of their PHP applications. By covering a wide range of security measures and techniques, the book provides ...

macos php开发环境之macport安装的php扩展安装，php常用扩展安装，port中可用的所有php扩展列表

Tekin 是深耕技术 20 年的全栈实战派专家，精通 Go/Python/Java 等多语言开发。博客专注技术原理与实战结合，深度解析 Python 高阶编程、Go 语言架构、数据库优化等硬核内容。涵盖并发编程、机器学习、云原生等前沿领域，通过真实案例拆

10-07

2001

macos中，我们使用了port 安装了php后，默认只带有php基本的核心扩展的，如果需要使用其他的扩展，如 redis, https， xdebug等扩展就需要我们手动来安装对应的扩展。macos php开发环境 macport安装的php的方法见本文主要讲解macos中使用macport包安装的php的扩展安装配置方法和port中支持的所有php扩展列表等。切换当前的php版本使用80。

CentOS7下Ceph集群部署实战

2503_91960880的博客

09-09

1079

通过 CRUSH 算法将其映射到不同的 OSD 节点上，实现数据的存储。我们可以将其理解为 Ceph 存储上划分的逻辑分区，Pool 由多个 PG 组成；2、集群网络（cluster-network，用于集群内部通讯）与公共网络（public-network，用于外部访问Ceph集群）分离。Ceph 客户端向 monitor 请求集群的状态，并向 Pool 中写入数据，数据根据 PGs 的数量，3、mon、mds 与 osd 分离部署在不同主机上（测试环境中可以让一台主机节点运行多个组件）

PHP：从入门到实战的全方位指南

最新发布

z18072129907的博客

09-12

209

从简单的脚本语言到企业级应用开发平台，PHP的进化史印证了"适者生存"的技术法则。对于开发者而言，掌握现代PHP开发实践不仅能提升开发效率，更能构建出高性能、安全可靠的应用系统。无论是维护遗留系统还是开发新项目，PHP都值得纳入技术选型考虑范围。

ctfshow_web13-----------文件上传.user.ini

hello_mszcc的博客

09-11

270

猜测flag就在903c00105c0141fd37ff47697e916e53616e33a72fb3774ab213b3e2a732f56f.php文件下了。经尝试，改后缀php5,ptml均不行，使用.htaccess文件也不成功。正则过滤了php，文件大小<24,文件名小于9。扫描后发现存在upload.php.bak。又是菜鸡的一天，周五没有课，爽爽爽！上传.user.ini，在文件中写上。然后用蚁剑连接，发现可以连接不能操作。打开题目发现是一个文件上传题。,所有文件都可以包含它。

Web For Pentester：Sqli Sector

m0_46604997的博客

09-12

540

本文完成了Web For Pentester靶机的Sqli Sector。案例1-3演示了单引号闭合、空格过滤绕过等技术；案例4-7分析了数字型注入及正则过滤的绕过；案例8-9展示了ORDER BY注入的特殊性，其中利用反引号和延时注入获取数据库信息。所有案例均存在未过滤用户输入直接拼接SQL语句的问题，导致注入风险。针对这些漏洞，建议采用参数化查询、严格的输入验证、最小权限原则等防御措施。文中还提供了自动化检测脚本，强调了对SQL注入漏洞进行全面检测的重要性。

ThinkPHP8学习篇(六)：数据库(二)

zorro_z的博客

09-11

1069

在数据库操作环节，查询表达式是描述查询条件的核心工具，而链式操作则为复杂查询逻辑的构建提供了流畅且高效的实现方式，二者共同构成了灵活处理数据查询需求的关键支撑。本篇作为数据库系列文章的第二篇，学习核心内容将集中在各类查询表达式（如比较、逻辑、区间等）的语法与应用，以及 ThinkPHP 中常用的链式操作方法（如 where、order、limit 等）的组合使用上。本篇文章将记录 ThinkPHP 数据库查询表达式与链式操作方法的学习过程。

零基础快速了解掌握Linux防火墙-Iptables

uname_xuan的博客

09-11

782

本文详细介绍了Linux防火墙工具iptables的配置与管理。文章首先概述了iptables的特点和核心组成（表、链、规则），然后重点讲解了配置方法：包括添加/删除规则、查看/修改策略、匹配条件设置等。特别介绍了NAT地址转换配置（SNAT和DNAT）以及防火墙策略的备份恢复方法。全文通过命令示例和流程说明，全面展示了iptables的灵活配置能力，适合作为Linux网络安全管理者的参考手册。

PHP入侵案例分析：安全风险与防范

在给定的部分内容中，提到了一个具体的错误信息，`Warning:Supplied argument is not a valid MySQL result resource`，这可能是由于SQL查询返回了无效的结果导致的。这通常是SQL注入攻击的一个标志，攻击者尝试利用...