PHP代码审计1-审计环境与调试函数

审计环境与调试函数

审计环境

测试环境

常用集成环境：phpStudy、WampServer

#不同的操作系统下，漏洞测试的结果也可能不一样

PHP编写工具

EditPlu

Notepad++

代码审计工具

Seay

代码审计平台

DVWA（注：windows下，需要将配置文件中的password改为空）

ZVulDrill　　（注：需要重新导入数据库文件）

漏洞验证辅助工具

Burp Suite

浏览器扩展（Hack Bar、Firebug、Modify）

正则调试工具

SQL执行监控工具

常用的调试函数

echo()　　输出函数，一般用来输出变量值，或者你不确定程序执行到哪个分支时使用　　等同于print()

print_r()　　用来输出数组和对象数据，一般在查看接口返回值，或某些不太确定变量的时候使用。如果想捕捉 print_r() 的输出，可使用 return 参数

var_dump()　　打印变量相关内容，包括数据类型

var_export()　　输出或返回变量的字符串表示，可直接赋值使用　　#注：其对于资源型的变量会输出NULL

debug_zval_dump 　　输出结果跟var_dump类似，可记录一个变量被引用了多少次【php的copy on write机制的一个重要特点】

exit()　　退出函数，终止页面运行

单引号跟双引号的区别

双引号会解析变量和特殊字符（所以表达文本时，需转义）

单引号不解析变量，其内的所有字符只是文本

时间： 2024-10-29 10:47:03

PHP代码审计1-审计环境与调试函数的相关文章

PHP开发中，让var_dump调试函数输出更美观 ^_^#

最近开发发现自己电脑var_dump时候没有如下效果. 果断google.百度下.^_^# 抱歉,没有找到结果.就小小的机智了下,右键查看源码,答案有了.是xdebug带来的福利. 添加xdebug方法如下: 根据自己的PHP版本去下载一个php_xdebug.dll文件. 找到php.ini文件.在末尾添加如下: ? 1 2 3 4 5 6 7 8 9 10 11 12 ; XDEBUG Extension zend_extension = "D:/wamp/bin/php/php5.3.27

Python帮助函数调试函数用于获取对象的属性及属性值

刚接触Python,上篇 <Python入门>第一个Python Web程序--简单的Web服务器中调试非常不方便,不知道对象详细有什么属性,包括什么值,所以写了一个函数.用于获取对象的属性及属性值函数代码例如以下: #调试函数.用于输出对象的属性及属性值 def getAllAttrs(obj): strAttrs = '' for o in dir(obj): strAttrs =strAttrs + o + ' := ' + str(getattr(obj,o)) + '<br

如何实现在线查看进程中的变量以及执行调试函数

本程序实现了查看进程中的全局变量,以及执行进程中的调试函数的功能. 程序运行后,init_symbol函数会创建一个线程,此线程从标准输入读取用户输入的变量名或函数调用命令,然后输出相应的结果. 例如, 输入 my_var,即可查看变量my_var的信息. 输入 my_func(1, "good", 0x123) 即可使用输入的参数执行函数my_func 目前最大支持8个参数,且每个参数size必须等于sizeof(long) my_func函数的各个入参就是一个符合要求的例子. 输

python解释器安装与环境变量调试

Python解释器安装与环境变量调试 Python解释器安装(3.6): www.python.org这个是python解释器的官网,一定要牢记. 鉴于市场上有两种python版本(2和3),今天两种版本都装一下,互相学习,如有错误还请各位评论指正. ![img](https://img2018.cnblogs.com/blog/1730011/201907/1730011-20190702152252778-1968035960.png) windows系统![](https://img201

eclipse+gcc环境 + Jlink 调试stm32

前言: 在嵌入式领域,最热门的是keil和iar.这两款老牌工具在编译.调试方面的是很靠谱的,然而其编辑和阅读功能却过于简单.没有选中高亮,不能全局搜索函数变量(这里是指基于符号索引,而不是基于文本的简单find next),不能查看函数调用关系,等等等等. 正是因为keil和iar编辑阅读功能不足,有些工程师会这么干:用source insight写代码,用keil编译.我以前也这么做过,而当我发现eclipse可以用于嵌入式开发后,就立马弃暗投明了.个人认为eclipse的编辑阅读功能比so

windows环境phpstorm调试环境搭建

一:安装设置xdebug 这个一般有两个步骤1:浏览器的xdebug插件安装,一般用firefox的插件,chrome好像不太好使安装后如下图所示,需要配置IDEKEY 填入PHPSTORM:打开浏览器,如果是用chrome或者Firefox可以找到对应的XDebug工具,工具的设置里的IDE KEY填上PHPSTORM,.如果是用其他浏览器,可以访问http://www.jetbrains.com/phpstorm/marklets/,在右边填上PHPSTORM,点generate,把下面的

在linux+eclipse+maven环境下调试Hbase服务源码，启动Hmaster

由于论文工作,想在regionserver的ipcserver和hregionserver等类进行修改源码的工作. 所以我需要在我的虚拟机中,我的虚拟机环境是32位centos中安装eclipse,调试Hbase的源码. 搭建环境主要步骤基本按照http://www.cnblogs.com/shitouer/archive/2012/10/24/2736923.html来进行.我主要记录下我自己搭建环境遇到的问题. 我的基本步骤, 1,eclipse按照svn插件, 2,通过svn拉去tag中的

在AE10.1环境下调试其他版本的程序

不同人的可能使用的开发环境不一样,使用SDK版本也不一样,比如用ArcEngine9.3开发的程序在ArcEngine10.1下就不能运行,需要重新调试,才能运行. 这里的例子程序是其他网友在ArcEngine10.0的环境下写的 http://bbs.esrichina-bj.cn/ESRI/viewthread.php?tid=120017&extra=page%3D1 打开Debug的应用程序不能正常执行,这是ArcEngine版本不对的现象. 用VS2010打开程序,界面也看不到: 打开

IAR瑞萨单片机开发加入printf调试函数

IAR开发环境,没有printf函数,自己百度加入了一个(http://www.cnblogs.com/codecamel/p/4686437.html),但是还是有一些问题,特别是打印多个变量时,只能够打印字符串时比较稳定,原因是因为va_arg()给了错误的返回值,故只能找寻其他的方法,今天测试了一下,新的办法步骤如下 1.关键之处,否则会出现PUTCHAR函数未定义现象. 右键点击工程选择option-> General Option->ibrary configuration中libr