php代码审核工具

㈠ php常用开发工具

PHP是一种开放性的语言，这也导致了开发环境没有强而权威的支持。这里列举一些比较好的编辑工具，昆明北大青鸟http://www.kmbdqn.cn/希望能给大家开发PHP程序提供一些帮助。

Dreamweer

从MX开始，DW开始支持PHP+MYSQL的可视化开发，对于初学者确实是比较好的选择，因为如果是一般性开发，几乎是可以不写一行代码也可以写出一个程序，而且都是所见即所得的。

所包含的特征包括，语法加亮、函数补全，形参提示等。

不过DW生成的代码比较复杂，安全性也一般。在手写的方面，方便度一般，在调试环境方面表现差强人意。不太适合于比较复杂一点的编程。但对于初学的人是再好不过了。

ZendDevelopmentEnviorment

和PHP靠得最近的ZEND推出的一款PHP的IDE，ZENDDEVELOPMENTENVIORMENT。最新的版本为2.6，这也是在LINUX下面唯一一个PHP的集成开发调试环境了，当然它也有WINDOWS版本。

和其它的IDE不同，ZDE是用编写的～～这不光意味着多平台性，同样意味着很慢的速度，和比较奇怪一点的使用界面。尤其是它那将近半分钟的启动速度，让人无法忍受!!!!!

ZDE提供的功能是最齐全的，而且可以和ZEND其它的PHP开发工具无缝的结合。成为一套强大的PHP开发环境，而且ZDE的调试环境是建在ZDE自身程序里面的，而不象其它的IDE，是通过PHPDEBUGER来实现的。

㈡ 想用软件直接查看php代码，什么软件更好

当然是zend studio咯，php的专业编码工具。

Zend Studio是当今最伟大的PHP集成开发环境

Zend Studio包括了PHP开发所有必须的部件，通过一整套编辑、调试、分析、优化和数据库工具，使用Zend Studio 缩短了开发周期，并简化了复杂的应用方案，无容置疑，其已经是当今世上最强大的PHP集成开发环境。

Zend Studio的强大之处，除了一般编辑器所具有的代码高亮，语法自动缩进，书签功能外，它内置的调试器更是无可挑剔，支持本地和远程（debug server）两种调试模式，支持诸如跟踪变量、单步运行、断点、堆栈信息、函数调用、查看实时输出等多种高级调试功能。另外，最新版（Zend Studio 5.5.1）对中文的支持也是非常稳定的。

本系列教程将通过搜集整理资源，结合笔者的一些个人见解，带您领略ZDE的震撼魅力。

更详细的教程请看参考资料。

㈢ php 方面大家一般用哪些工具进行代码加密

所谓 zend 加密，其实是预编译
他将 php 代码翻译成了一种虚拟机器的指令集合（php 运行时也是这样，但指令集不同）
所以 zend 解密，实际是反编译
由于涉及到 php 内核机制，故不在本讨论范围之内
凡是比依赖加密环境的加密，实际都是扰码——程序依据自身包含的算法将自身还原成初始的代码
这种程序最终执行的是还原后的代码
所以你完全有可能在他运行期间，拦截到包含 还原后代码 的字符串
由于扰码的程序，本身是可执行的，所以还可以从语法分析入手
php 提供 token_get_all 函数，用于对 php 代码串做词法分析
可得到类似这样的数组
Plain Text code? [32] => Array ( [0] => T_STRING [1] => T挝CB蜦RW仄JW竖IDFZZD蜺FBAADVAVQU颐HCF頕V厝VN游煁啙 [2] => 2 ) [33] => Array ( [0] => symbol [1] => ; [2] => 2 ) [34] => Array ( [0] => T_STRING [1] => T沃FBAEBAFAIBAQIA?腄AAHU领ABF萉A1FVB仡FB頔A庮葴 [2] => 2 )
依据他，就可对程序做出解析，从而反推出原始代码
我使用

PHP code?1234<?php$source=file_get_contents('s.php');$tokens = token_get_all ($source ); print_r($tokens);

㈣ PHP中有什么好的代码自动检查工具吗

通常的PHP集成开发软件，如 PhpDesigner 、 Zend Studio、Eclipse 等等都内置有代码检查工具。如果想在外部进行PHP代码检查，可以参考以下资料： PHP Mess Detector( PHP项目体检工具，根据你设定的标准（如单一文件代码体积，未使用的参数个数，未使用的方法数）检查PHP代码，超出设定的标准时报警。 PHP Copy Paste Detector( 顾名思义，检查冗余代码的 PHP Dead Code Detector( 看名字就知道了，检查从未被调用过的方法 PHP Code Sniffer( 老牌代码格式化工具，PHP写的，Pear包，可自己hack，可集成到命令行里。 PHP Code Beautifier，只有Windows GUI，Windows CMD很难用

㈤ 有什么PHP代码漏洞检测工具吗

我给你程序吧：<?php$open=file_get_contents("abc.txt");//把这个abc.txt文件当做字符串放入$open变量中$arr=explode("<br>",$open); //按<br>作为分割条件，把$open字符串分割成数组foreach($arr as $val)//foreach循环不用循环次数。把数组$arr赋予$val,让php自己去计算循环次数。这样快{ if($val == '标题' or stristr($val,'备注'))//如果$val里有标题，或者$val里有备注字样。 { echo $val.'<br>'; //输出$val,同时输出一个空行，因为刚才分割的时候，把<br>去掉了。 } }?>我的执行结果是正确的。

建议楼主去后盾人那学习吧，听说最近他们在搞实训班培训的活动

㈥ Linux下有哪些不错的PHP代码审计工具

具体代码如下：
<?php
$ch = curl_init();
$timeout = 5;
curl_setopt ($ch, CURLOPT_URL, '');
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
$file_contents = curl_exec($ch);
curl_close($ch);
echo $file_contents;
?>
?PHP 独特的语法混合了C、java、Perl以及PHP自创的语法。
它可以比CGI或者Perl更快速地执行动态网页。用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML（标准通用标记语言下的一个应用）文档中去执行，
执行效率比完全生成HTML标记的CGI要高许多；
PHP还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快。

㈦ php漏洞与代码审计过程中需要注意的几点

1.xss + sql注入
其中占大头的自然是XSS与SQL注入，对于框架类型或者有公共文件的，建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数，可由如下所示：
$_REQUEST = filter_xss（$_REQUEST）；
$_GET = filter_xss（$_GET）；
$_POST = filter_xss（$_POST）；
$_COOKIE = filter_xss（$_COOKIE）；
$_POST = filter_sql（$_POST）；
$_GET = filter_sql（$_GET）；
$_COOKIE = filter_sql（$_COOKIE）；
$_REQUEST = filter_sql（$_REQUEST）；
这里有一点需要说明，$_REQUEST虽然等于$_GET+$_POST,但他们是独立的数组，也就是说假设改变了$_GET的值，但$_REQUEST的值还是原来的值，所以过滤时都不能落下，至于其他的如$_FILE之类的就可忽略了。
最简单的filter_xss函数是htmlspecialchars（）
最简单的filter_sql函数是mysql_real_escape_string（）
当然，谁都知道这种过滤filter_sql只能过滤字符型和搜索型的注入，对于数字型是没有办法的，但也说明做了这层过滤后，只需在后面注意数字型的SQL语句就可以了，遇到了加intval过滤就可以了，这就变得容易多了。
2. 命令执行
对于命令执行，可以从关键字入手，总共可分为3类
（1） php代码执行 :eval等
（2）shell命令执行：exec、passthru、system、shell_exec等
（3） 文件处理：fwrite、fopen、mkdir等
对于这几类需要注意其参数是否用户可控。
3.上传漏洞
对于上传漏洞，也是重点关注的地方，要仔细分析它的处理流程，针对上传的绕过方式是很多的，最保险的方式：在保存文件是采用文件名随机命名和后缀白名单方式。其次要注意的一点是上传文件的地方可能不止一处，不要有遗漏，可能会碰到这样的情况，突然在某个目录里面包含了一个第三方的编辑器在里面。
文件包含漏洞涉及的函数如include（） 、include_once（）、require（）、require_once（）、file_get_contents（）等
最常见的还是出在下载文件功能函数，例如download.php?file=///etc/passwd 这种类型中。
4. 权限绕过
权限绕过可分为两类吧
（1）后台文件的未授权访问。后台的文件没有包含对session的验证，就容易出现这样的问题
（2）未作用户隔离，例如mail.php?id=23显示了你的信件，那么换个ID, mail.php?id=24就查看到了别人的信件，编写代码是方便，把信件都存在一个数据表里，id统一编号，前端展现时只需按id取出即可，但未作用户隔离，判定归属，容易造成越权访问。
这样的例子是很常见的，给某银行做评估是就经常发现这种漏洞。
5. 信息泄露
信息泄露算是比较低危的漏洞了，比如列目录这种就属于部署问题，而与代码审计无关了，而像暴路径、暴源码这种是需要防止的。曾经遇到这样的代码
<?php if（empty（$_GET['a']）） {…} ?>
表面上似乎没问题，可是当请求变为 xx.php?a[]=1时，即参数变为数组的时候，就会发生错误以致路径泄露，而用isset判断则不会，当然一个个防太麻烦，建议在配置文件中关闭错误提示，或者在公共文件中加入如下代码以关闭错误显示功能：
<?php error_reporting（0）；?>

㈧ php开发工具

PHP开发工具排行
1.SublimeText3

Sublime Text是一款流行的代码编辑器。Sublime Text 具有漂亮的用户界面和强大的功能，例如代码缩略图，python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。<去下载.....>
2.Notepad++7.3.1

Notepad++是在微软视窗环境之下的一个免费的代码编辑器。它使用较少的CPU功率，降低电脑系统能源消耗，但轻巧且执行效率高，使得Notepad++可完美地取代微软视窗的记事本。内置支持多达27种语法高亮度显示(包括各种常见的源代码、脚本，能够很好地支持.nfo文件查看)，还支持自定义语言；可自动检测文件类型，根据关键字显示节点，节点可自由折叠/打开，还可显示缩进引导线，代码显示得很有层次感；可打开双窗口，在分窗口中又可打开多个子窗口，允许快捷切换全屏显示模式(F11)，支持鼠标滚轮改变文档显示比例；提供了一些有用工具，如邻行互换位置、宏功能等；可显示选中文本的字节数 (而不是一般编辑器所显示的字数，这在某些情况下，比如 软件本地化 很方便)。<去下载......>
3.Zend Studio 13.0.1

Zend Studio是一个屡获大奖的专业PHP集成开发环境，具备功能强大的专业编辑工具和调试工具，支持PHP语法加亮显示，支持语法自动填充功能，支持书签功能，支持语法自动缩排和代码复制功能，内置一个强大的PHP代码调试工具，支持本地和远程两种调试模式，支持多种高级调试功能。

Git和Github支持云开发部署深度，Zend Framework和Zend Server集成更快、更精简的IDE

㈨ 哪些php文本编辑器比较好

1、Zend Studio
具备功能强大的专业编辑工具和调试工具，支持PHP语法加亮显示，支持语法自动填充功能，支持书签功能，支持语法自动缩排和代码复制功能，内置一个强大的PHP代码调试工具，支持本地和远程两种调试模式，支持多种高级调试功能。Zend Studio可以在Linux、Windows、Mac OS X上运行。

2、Open Komodo Project
Open Komodo Project是一款相当独特的PHP IDE。这个 IDE 在 Windows、Mac OS X 和 Linux 上运行，并支持通用的开源语言 —— Perl、PHP 和 Ruby。代码智能引擎非常可靠。它扫描所有语言安装找到定制扩展，比如 PEAR 模块。在项目方面，它支持与 CVS、Subversion 和 Perforce 的集成，也允许直接向服务器 FTP 传递代码。

3、Netbeans
NetBeans IDE是一个开源集成开发环境，可用于Windows、Mac、Linux和 Solaris。除完全支持所有 Java 平台（Java SE、Java EE、Java ME 和 JavaFX）之外，NetBeans 还是PHP、Ajax和JavaScript、Groovy和 Grails、Ruby和Ruby on Rails以及C/C++软件开发的理想工具。

4、Geany
Geany是一个跨平台的轻量级的开源集成开发环境，非常轻巧和快速的。它只有一小部分功能需要依赖其他的包，它的目标就是成为一个跟KDE、GNOME等桌面软件一样独立。只要有GTK2的运行环境就可以运行它。

5、Aptana (Eclipse)
Aptana Studio 是一个集成式的Web应用程序开发环境，它不仅可以作为独立的程序运行，而且还可以作为Eclipse插件使用。AptanaStudio可以支持多种AJAX和JavaScript工具箱，包括JavaScript编辑和调试。

6、Php Designer
Php Designer不仅支持php ，也支持其他网络语言像html ，xhtml， xml，css和javascript ， vbscript，java， c#，perl ， python等！

7、GNU Emacs
GNU Emacs 是一个文本编辑器家族，具有强大的可扩展性，在程序员和其他以技术工作为主的计算机用户中广受欢迎。EMACS，即Editor MACroS（编辑器宏）的缩写，最初由Richard Stallman(理乍得·马修·斯托曼)于1975年在MIT协同Guy Steele共同完成。这一创意的灵感来源于TECMAC和TMACS，它们是由Guy Steele、Dave Moon、Richard Greenblatt、Charles Frankston等人编写的宏文本编辑器。

8、PHPEdit
PHPEdit是一款Windows下优秀的PHP脚本IDE（集成开发环境）。该软件为快速、便捷的开发PHP脚本提供了多种工具，其功能包括：语法关键词高亮；代码提示、浏览；集成PHP调试工具；帮助生成器；自定义快捷方式；150多个脚本命令；键盘模板；报告生成器；快速标记；插件等。

9、EditRocket

EditRocket是一个功能强大的代码编辑器，支持超过20种语言，包括HTML ， PHP和CSS ，java脚本，Python, Ruby, Perl, XML, C, C++, Shell Script。

10、Notepad++
Notepad++是一款Windows环境下免费开源的代码编辑器，支持的语言:C, C++ , Java , C#, XML, HTML, PHP, Javascript等！Notepad++ 不仅有语法高亮度显示，也有语法折叠功能，并且支援宏以及扩充基本功能的外挂模组。

11、Vim
Vim是一个类似于Vi的文本编辑器，不过在Vi的基础上增加了很多新的特性，Vim普遍被推崇为类Vi编辑器中最好的一个，事实上真正的劲敌来自Emacs的不同变体。1999 年Emacs被选为Linuxworld文本编辑分类的优胜者，Vim屈居第二。但在2000年2月Vim赢得了Slashdot Beanie的最佳开放源代码文本编辑器大奖，又将Emacs推至二线， 总的来看， Vim和Emacs同样都是非常优秀的文本编辑器。

12、NVU
Nvu（发音N-view）是个所见即所得的万维网页处理系统，它是自由软件，建基于Mozilla的Composer Mode。它的目标是能与商业的网站开发工具如Microsoft FrontPage和Macromedia Dreamweaver争一日之长短，及成为Linux上最重要的所见即所得(WYSWYG: What you see, what you get)编辑器。

13、Quanta Plus
Quanta Plus是Linux桌面环境下的一个功能非常强大的HTML编辑器，介于所见即所得风格和HTML源代码之间。因为Quanta Plus需要输入HMTL代码，但是同时提供实时的预览，这种编辑方法有助于在提供友好界面的同时, 让用户最大限度地把握HTML代码。Quanta Plus支持Perl、PHP脚本语言，支持最新DTD(Document Type Definition)文件格式编辑对话框。

14、SublimeText
Sublime Text 是一个代码编辑器，也是HTML和散文先进的文本编辑器。Sublime Text是由程序员Jon Skinner于2008年1月份所开发出来，它最初被设计为一个具有丰富扩展功能的Vim

㈩ 目前全栈工程师常用的软件有哪些

cs201 全栈软件工程师免费下载

链接:https://pan..com/s/1uvC9DjwH3O3qemDwhmO_OA

全栈工程师是指掌握多种技能，胜任前端与后端，能利用多种技能独立完成产品的人。