代码审计：企业级Web代码安全架构

代码审计是企业安全运营的重要步骤，也是安全从业者必备的基础技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法，不仅用大量案例介绍了实用方法，而且剖析了各种代码安全问题的成因与预防方案。无论是应用开发人员还是安全技术人员都能从本书获益。

这是一本全面系统地介绍了PHP代码审计和安全编程相关知识的实用书籍。本书主要分为三个部分，第一部分：代码审计前的准备，第二部分：PHP代码审计中的漏洞挖掘思路与防范方法，以及第三部分：PHP安全编程的规范。 在第一部分：代码审计前的准备中，本书详细介绍了PHP核心配置文件以及PHP环境搭建的方法，同时，也介绍了学习PHP代码审计需要准备的工具，以及这些工具的详细使用方法。这些工具包括代码编辑器、代码审计工具以及漏洞验证辅助等。 在第二部分：PHP代码审计中的漏洞挖掘思路与防范方法中，本书详细介绍了PHP代码审计的思路，包括根据关键字回溯参数、通读全文代码以及根据功能点定向挖掘漏洞的三个思路。同时，也讲述了常见漏洞的审计方法，涵盖了SQL注入漏洞、XSS漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞。此外，还介绍了二次漏洞的挖掘方法，二次漏洞在逻辑上比常规漏洞要复杂，所以我们需要单独拿出来，以实例来进行介绍。 在第三部分：PHP安全编程的规范中，本书主要介绍了参数的安全过滤，所有的攻击都需要有输入，所以我们要阻止攻击，第一件要做的事情就是对输入的参数进行过滤