Question

本书总共分为三个部分。第一部分为代码审计前的准备，包括第 1 章以及第 2 章，第 1 章详细介绍我们在学习代码审计前需要了解的 PHP 核心配置文件以及 PHP 环境搭建的方法，第 2 章介绍学习 PHP 代码审计需要准备的工具，以及这些工具的详细使用方法。

第二部分包括第 3~8 章，着重介绍 PHP 代码审计中的漏洞挖掘思路与防范方法。

第 3 章详细介绍 PHP 代码审计的思路，包括根据关键字回溯参数、通读全文代码以及根据功能点定向挖掘漏洞的三个思路。

第 4~6 章讲述常见漏洞的审计方法，分别对应基础篇、进阶篇以及深入篇，涵盖 SQL 注入漏洞、XSS 漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞。

第 7 章介绍二次漏洞的挖掘方法，二次漏洞在逻辑上比常规漏洞要复杂，所以我们需要单独拿出来，以实例来进行介绍。

在经过前面几章的代码审计方法学习之后，相信大家已经能够挖掘不少有意思的漏洞。第 8 章将会介绍代码审计中的更多小技巧，利用这些小技巧可以挖掘到更多有意思的漏洞。每类漏洞都有多个配套的真实漏洞案例分析过程，有助于读者学习代码审计的经验。不过，该章不仅介绍漏洞的挖掘方法，还详细介绍这些漏洞的修复方法，对开发者来说，这是非常有用的一部分内容。

第三部分包括第 9~12 章，主要介绍 PHP 安全编程的规范，从攻击者的角度来告诉你应该怎么写出更安全的代码，这也是本书的核心内容：让代码没有漏洞。第 9 章主要介绍参数的安全过滤，所有的攻击都需要有输入，所以我们要阻止攻击，第一件要做的事情就是对输入的参数进行过滤，该章详细分析 discuz 的过滤类，用实例说明什么样的过滤更有效果。

第 10 章主要介绍 PHP 中常用的加密算法。目前 99%以上的知名网站都被拖过库，泄露了大量的用户数据，而这一章将详细说明使用什么样的加密算法能够帮助你增强数据的安全性。

第 11 章涉及安全编程的核心内容。所有的应用都是一个个功能堆砌起来的，该章从设计安全功能的角度出发，从攻击者的角度详细分析常见功能通常会出现的安全问题，在分析出这些安全问题的利用方式后，再给出问题的解决方案。如果你是应用架构师，这些内容能够帮助你在设计程序功能的时候避免这些安全问题。

第 12 章介绍应用安全体系建设的两种策略以及实现案例：横向细化和纵深策略，企业的应用安全应把这两种策略深入到体系建设中去。

以上就是本书的全部内容，看到介绍之后你是不是有点儿兴奋呢？赶紧来边读边试吧。