@前尘如梦:

前辈你好，我是从你的博客跟到这里的，我也是尝试做PHP代码审计，有几个初学者的小问题，希望您能答疑解惑。 我平时做审计的时候，常用print_r($xxx);来查看参数的传递和处理结果，或者print_r(debug_backtracer);一点点回溯函数的调用，又或者全局搜索函数的调用。 这种方法很麻烦，而且大多时候白费力气。我想问有什么好的方法可以改善吗？例如有什么更好的办法可以确定程序执行流程，或者框架的结构

@xxx:

师傅，想问下审计python的静态分析工具有哪些呢

@Destiny:

p神，想问一下，在PHP代码审计中有没有什么方法能动态的调试我当前所访问的页面？也就是能否实现我访问什么功能就动态调试到响应的代码呢？

@路人甲:

p神，想跟你提个建议，如果觉得建议不成熟，可以无视^_^ 总是看你们在圈子里讨论某个技术细节，但是说实话，我，包括很多圈子里的人，我估计都是看不懂的，要想提高圈子整体的水平，还是多发一些小众cms的整体审计思路文章，并给出思考过程，这样，我们就可以一步一步跟着大神的思路，去实践，去练习，练习的次数多了，也会对代码审计有更多的感悟

@S4b0r:

黑盒测试出一个执行代码漏洞，ger参数：phpinfo() 可以直接回显。eval($_POST[xxx] ) 无效 linux系统不存在安全狗 抓包看了下http 没有显示aliyun jiasule 之类的值。个人猜测应该没有waf 应该是函数执行过滤了什么。 如何突破，各位表哥。

@水头久久久电脑:

P牛，能给几个intval绕过的案例吗？我只找到那个cmseasy的例子

@下辈子想做头猪:

请问joomla的phpmailer远程命令执行您有重现过吗？Security Announcements

@wonderkun:

phithon师父，我有个东西不明白： $_GET[a]($_POST[b]) 当传入a=assert 就是后门 当a=eval就是报错说eval不是函数。 难道eval真不是函数，是一个语句，像echo一样？

@路人甲:

求推荐几个技术的小密圈啊