当我下载一个大型PHP类或库时
我可以在代码上搜索什么来检测可能的特洛伊木马
过去,当我用classic ASP编程时,搜索"createobject"并阅读它周围的代码就足够了。但PHP有很多功能和风险(从这个意义上讲)那么,你能给我一个要检查的字符串列表吗??,(或者其他更好的方法??)例如"eval"、"fopen"等
感谢
破坏系统的方法和程序员头脑中的想法一样多。有些是恶意的,有些只是无意的。
维护安全系统的最大希望是只使用来自可靠来源的代码。
您真的无法筛选它们。你需要能够信任软件来源,并验证它的有用性;与其他开发人员和用户的质量。
尽可能依赖大型开发社区提供的库,无论是作为开源项目还是其他项目。符合严格编码标准(如PEAR中的标准)的库可能比你在一个单独的网站上发现的由一个无法轻松沟通的单独开发人员创建的库更安全。
附录:基本上,我的建议是遵循PHP社区,从坏脚本中挑选好脚本。有些人可能不信任PEAR,但总的来说,社区已经信任它了。然而,要小心你可能遇到的来源,比如mysuperphpscriptsfordownload.com,那里的社区还没有审查质量和可信度。
你不能只在源代码中搜索函数,因为有很多方法可以混淆它。
示例:
$f = 'fo'; //> somewhere
$f .= 'pen'; //> somewhere else
$f('hi');
不要注入你无法清楚理解其来源的代码,它们来自未经测试的来源。