code-audit/第一章/01.md

# 课程介绍



# 开发安全周期

![alt text](img/circle.drawio.svg)

# 代码审计的概念



# 代码审计需要掌握的技能



# 代码审计常用的场景



# 测试的分类



# 教学目标



# 课程介绍

- 第1章  代码审计环境搭建  1课时
- 第2章  审计辅助与漏洞验证工具   1课时
- 第3章  通用代码审计思路   2课时
- 第4章  漏洞挖掘与防范基础  2课时
- 第5章  漏洞挖掘与防范进阶  2课时
- 第6章  漏洞挖掘与防范深入  3课时
- 第7章  二次漏洞审计          2课时
- 第8章  代码审计小技巧       2课时
- 第9章  参数的安全过滤       2课时
- 第10章  业务功能安全设计  2课时
- 第11章  应用安全体系建设  1课时

# 代码审计环境搭建

[PHP运行环境-PHPStudy](https://www.xp.cn/)，下载8.1 版本。作为实验，Windows环境更方便一些。

## PHP动态页面的原理

一切皆函数：y=f(x)，动态页面的过程可以理解成从页面输入一个或者多个变量后，程序在服务器上执行后的结果（新页面，服务器上数据的改变等）。基本的过程与函数一致。

![alt text](img/php.drawio.svg)

# 配置可被设定范围

[配置可被设定范围](https://www.php.net/manual/zh/configuration.changes.modes.php)