审计环境与调试函数

审计环境

测试环境

常用集成环境：phpStudy、WampServer

#不同的操作系统下，漏洞测试的结果也可能不一样

PHP编写工具

EditPlu

Notepad++

代码审计工具

Seay

代码审计平台

DVWA（注：windows下，需要将配置文件中的password改为空）

ZVulDrill　　（注：需要重新导入数据库文件）

漏洞验证辅助工具

Burp Suite

浏览器扩展（Hack Bar、Firebug、Modify）

正则调试工具

SQL执行监控工具

常用的调试函数

echo()　　输出函数，一般用来输出变量值，或者你不确定程序执行到哪个分支时使用　　等同于print()

print_r()　　用来输出数组和对象数据，一般在查看接口返回值，或某些不太确定变量的时候使用。如果想捕捉 print_r() 的输出，可使用 return 参数

var_dump()　　打印变量相关内容，包括数据类型

var_export()　　输出或返回变量的字符串表示，可直接赋值使用　　#注：其对于资源型的变量会输出NULL

debug_zval_dump 　　输出结果跟var_dump类似，可记录一个变量被引用了多少次【php的copy on write机制的一个重要特点】

exit()　　退出函数，终止页面运行

单引号跟双引号的区别

双引号会解析变量和特殊字符（所以表达文本时，需转义）

单引号不解析变量，其内的所有字符只是文本

PHP代码审计1-审计环境与调试函数