2017.3.6 总结

今天学习了PHP的代码审计，根据学习的提示，要找一个register_globals 这个全局变量，设置成on，自己在php.ini上找了很久。。没有找到，然后进行百度郁闷的发现register_globals这个函数在5.3的时候已经去了，而我用的是phpStudy-5.4.45。在学习的过程中遇到了很多的问题，还好也学到了不少的知识，比如在做PHP代码审计的时候或者在做安检的时候要打开错误信息的控制，也要设置错误报告的级别！具体函数display_error = on 

error_reporting = E_ALL,魔术引号也自5.3.0起废弃并自PHP 5.4.0起移除了，是否打开远程文件的函数是allow_url_fopen = xx 是否包含远程文件的函数是

allow_url_include = xx 如果开启了允许包含远程文件，可能会导致文件包涵漏洞！！还有一些是 用户访问目录限制 open_basedir = .:/xx/ 这样能够控制PHP的脚本只能访问指定的目录，避免访问到不该访问的目录，一定程度上限制了phpshell 的危害。。就写到这里 太累了，明天还得上课