代码审计必然要接触到编码相关的知识，历史上很多高危的漏洞是由编码问题导致的，比如在XSS漏洞中可以利用浏览器对不同编码的支持来绕过过滤触发漏洞，另外我们也经常需要用到不同的编码转码来进行模糊测试漏洞。

关键词： 解密工具  编码  及加 

说到浏览器扩展，肯定要先说一下浏览器。通常优先选择的是Firefox，再就是Chrome浏览器，原因很简单，Firefox的扩展是目前浏览器里面最多的，也许是因为Firefox开源的原因，喜欢鼓捣它的人也就多了，自然而然各种

关键词： 浏览器 

Burp Suite是一款基于Java语言开发的安全测试工具，使用它需要安装Java运行环境。这款软件只有不到10MB的大小，但是其强大的功能受到几乎所有安全人员的青睐。Burp Suite主要分为Proxy、Spider、Scanner、Intr

关键词： Burp  Suite 

不管是借助代码审计工具还是读PHP文件发现的漏洞，我们都需要验证漏洞是否真实可用。这就需要借助一些工具来帮助我们快速测试漏洞，或者在某些情况下，比如部分代码不可读时，我们可以在不继续往下读代码的情况下

关键词： 漏洞 

RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外，它也是一款开源软件，由国外安全研究员Johannes Dahse开发，程序只有450KB，目前能下载到的最新版是0 54，笔者发现这款程序在2013年2月已经暂停更新。

关键词： RIPS 

Fortify SCA是由惠普研发的一款商业软件产品，针对源代码进行专业的白盒安全审计，当然，它是收费的，而且这种商业软件一般都价格不菲。它有Windows、Linux、UNIX以及Mac版本，通过内置的五大主要分析引擎（数据

关键词： Fortify    SCA 

这是笔者基于C 语言开发的一款针对PHP代码安全性审计的系统，主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意UR

关键词： 源代码  系统 

代码审计工具是一类辅助我们做白盒测试的程序，它可以分很多类，例如安全性审计以及代码规范性审计，等等。当然，也可以按它能审计的编程语言分类，目前商业性的审计软件大多支持多种编程语言，也有个人或团队开

关键词： 代码  工具 

Zend Studio与PHP出自同一家公司，也可以说Zend Studio是PHP官方专门开发出来用来编写PHP代码的代码编辑器。Zend Studio是目前用户量最大的PHP开发工具，也是屡获大奖的专业 PHP 集成开发环境，具备功能强大

关键词： Zend  Studio 

UltraEdit（官网www ultraedit com）是一款功能强大的文本编辑器，不过它不是开源软件，官网售价79 95美元，可以完美运行在Windows、Linux以及Mac系统上。这款编辑器不仅可以编辑文本，还支持十六进制查看以及编

关键词： UltraEdit 

Notepad++是一套非常有特色的开源纯文字编辑器（许可证：GPL），运行于Windows系统，有完整的中文接口及支持多国语言撰写的功能（UTF8技术）。它的功能比 Windows中的 Notepad（记事本）强大，除了可以用来编辑

关键词： Notepad++ 

不管是做开发还是代码审计，一款顺手的代码编辑器必不可少，代码编辑器从轻量级到功能复杂强大的完备型，从免费到商业，都有很多款供我们选择，我们可以根据需要选择最适合的一款，常用的轻量级代码编辑器有Node

关键词： 编辑器  代码 

在代码审计和开发中，我们都需要一些代码编辑器来编辑代码，或者调试代码，也需要一些工具来验证漏洞是否存在。而各个编辑器也有所差异，所谓宝刀配英雄，使用一款好的编辑器能帮助你所向披靡，更简单轻松地写代

关键词： 引言 

代码在不同环境下执行的结果也会大有不同，可能就因为一个配置问题，导致一个非常高危的漏洞能够利用；也可能你已经找到的一个漏洞就因为你的配置问题，导致你鼓捣很久都无法构造成功的漏洞利用代码。然而，在不

关键词： 核心 

在不同的操作系统下，漏洞的测试结果也可能会不一样。简单举例，像文件包含截断，在Windows下与Linux下截断也有不一样的地方。为了更好地测试漏洞，我们还需要搭建Linux下的PHP环境。跟Windows一样，在Linux下也

关键词： 环境 

wamp组合是使用最多的测试环境，常用的集成环境包有phpStudy、WampServer、XAMPP以AppServ。其中使用最方便且功能最强大的是phpStudy，该程序包集成最新的Apache+Nginx+Lighttpd+PHP+MySQL+phpMyAdmin+Zend Opt

关键词： 环境 

漏洞的利用依赖PHP版本、Web中间件版本与类型、操作系统类型和版本以及这些软件的配置等多因素，所以我们在代码审计前需要做不少的准备工作，最重要的是环境搭建和代码审计辅助工具的使用，这一部分将从代码审计

关键词： 引言 

序言前言导读第一部分　代码审计前的准备第1章代码审计环境搭建21 1　wamp wnmp环境搭建21 2　lamp lnmp环境搭建41 3　PHP核心配置详解6第2章审计辅助与漏洞验证工具142 1　代码编辑器142 1 1　Notepad++152 1 2

关键词： 目　　录 

本书总共分为三个部分。第一部分为代码审计前的准备，包括第1章以及第2章，第1章详细介绍我们在学习代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法，第2章介绍学习PHP代码审计需要准备的工具，以及这

关键词： 导　　读 

代码审计是指对源代码进行检查，寻找代码中的bug，这是一项需要多方面技能的技术，包括对编程的掌握、漏洞形成原理的理解，系统和中间件等的熟悉。为什么需要代码审计代码审计是企业安全运营以及安全从业者必备的

关键词： 前　　言