3.2 設置 8

3.3 路徑設置8

3.4 持續(xù)時間 8

3.5 設置 8

3.6 固定 9

3.7 CSRF 9

4. 9

4.1 明文存儲密碼 9

4.2 弱密碼加密9

4.3 密碼存儲在攻擊者可訪問的文件中 9

5.認證授權10

5.1用戶認證10

5.2 未經身份驗證的函數(shù)或文件調用 10

5.3 密碼硬編碼 10

6. 函數(shù) 10

6.1 rand() 10

6.2 () 和 () 11

7.特殊字符和多字節(jié)編碼11

7.1多字節(jié)編碼11

8.pHp危險函數(shù)11

8.1緩沖區(qū)溢出11

8.2()刪除文件漏洞12

8.3 ()- 漏洞 12

9.信息泄露 13

9.1 13

10. pHp 環(huán)境 13

10.1 設置 13

10.2 設置 13

10.3 設置 13

10.4 設置 14

10.5 設置 14

10.6 設置 14

10.7 設置 14

10.8 d 設置 14

10.9 設置 14

10.10 設置 14

概述

代碼審查是系統(tǒng)地檢查應用程序源代碼的工作。它的目的是找到并修復應用程序

應用程序開發(fā)階段存在一些漏洞或程序邏輯錯誤，避免程序漏洞被非法使用，給企業(yè)帶來不必要的使用

所需的風險。

代碼審查不僅僅是檢查代碼。審查代碼的目的是為了確保代碼可以安全地訪問信息和資源。

足夠的保護php代碼審核，所以熟悉整個應用的業(yè)務流程對于控制潛在風險非常重要。審稿人

您可以使用類似于以下的問題來采訪開發(fā)人員以收集應用程序信息。

應用程序中包含什么類型的敏感信息，應用程序如何保護這些信息？

應用程序是在內部還是外部提供服務？誰會使用它，他們都是值得信賴的用戶嗎？

應用程序部署在哪里？

應用程序對業(yè)務重要嗎？

最好的方法是制作一個，讓開發(fā)者填寫?？梢愿庇^的體現(xiàn)應用

開發(fā)者提供的信息和編碼是安全的，應該覆蓋可能存在嚴重漏洞的模塊php代碼審核，例如：數(shù)據驗證、身份

身份驗證、會話管理、授權、加密、錯誤處理、日志記錄、安全配置、網絡架構。

輸入驗證和輸出顯示

大部分漏洞主要是由于無法驗證輸入數(shù)據的安全性或輸出數(shù)據無法通過安全的地方造成的

更嚴格的數(shù)據驗證方式是：

完全匹配數(shù)據

接受白名單數(shù)據

拒絕列入黑名單的數(shù)據

對匹配黑名單的數(shù)據進行編碼

用戶可以在pHp中輸入的變量列表如下：

$

$_GET

$

$

$

$

$_ENV

分享文章：代碼審核不是簡單的檢查代碼,審核代碼的原因
網頁網址：http://chinadenli.net/news26/295276.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供全網營銷推廣、用戶體驗、網站收錄、ChatGPT、App開發(fā)、定制網站

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)