@leezp:

p神，php代码审计 cms，新手，有什么好的策略，求推荐一些直接易上手的资料，还有有什么该注意的呢

@唐某:

提问p神，想问一下，JEECMS搭的网站后台，在已经爆出列名 admin 和加密后的密码的情况下，能用sql注入去进行修改管理员密码吗

@。:

p牛好，自编写的检测struts2的xray插件，经过测试，貌似会将?后的截断导致漏报，不知道是插件编写的问题还是bug。。。

@。:

php在序列化和反序列的过程中遇到了偏移错误的问题，代码如图。 在将序列化之后的内容输出后，复制赋值给变量再反序列化就会报错，把里面小写的s改成大写的S就可以正常反序列化，想问下这是为什么？有什么解决方案吗？

@erpang:

p牛，我遇到一个问题，我在我们phpstorm调试laravel的时候，出现断点但是不能单步跟踪的情况，放过以后就一直显示等待，不知道该怎么解决，这种情况是为什么啊，php版本7.1.13 nts phpstudy

@请添加备注:

初学代码审计，最近看到一篇关于discuz!ML 的rce漏洞分析，想尝试复现一下，就是这篇漏洞分析 | Discuz ML! V3.X 代码注入漏洞。但在一开始就遇到一个问题，就是我在报错以后就只有空白页面，没办法出现他第一张那个报错页面的图。百度了各种办法，也都没成功。想来问问怎样开启这样的报错页面。或者有什么更好的分析方法

@A线香花火:

p神，想问一下，这两天才知道有神器冰蝎的存在。到github上一看，源码已经下架了，在网上没找到，大大可以赏一份吗？谢谢

@SA0zero:

p神，在你下图这篇博客里面，最后上传参数为: ?><?=`. /???/????????[@-[]`;?> 写入到php代码里的话，就是: eval("?><?=`. /???/????????[@-[]`;?>"); 这里这样使用的原因，我的理解是，反引号执行系统命令不像system函数有输出，所以使用<?=>缩写能够输出，又因为eval函数不能直接包含php的闭合符号，所以还需要在前面加上?>(我最开始以为这个是要闭合前面的<?php) 这样理解是对的吗？

@Super.Tao:

大神，做代码审计应该很久了，但是在现在微服务语言同时存在java go,我想问下怎么去渗透测试，怎么去衡量我们一次渗透测试完成？

@勿用:

p牛～最近网站被挂马，百度搜索访问会跳转到菠菜网站～ 我分析了下只要是页面加载一个js文件就会跳转，哪怕这个js文件已经被我删了～麻烦帮帮忙指点下这是什么情况