php代码审计如字面意思，对php源代码进行审查，理解代码的逻辑，发现其中的安全漏洞。如审计代码中是否存在sql注入，则检查代码中sql语句到数据库的传输 和调用过程。还有一些危险的系统函数,上传,执行函数 等

上传的代码如果出现停止状态,不能审计,说明文件编码问题出现了问题,编码一直是个头疼的问题,请先用notepad+转成UTF-8再审计!

后期会解决这个问题

1：文件包含函数中存在变量,可能存在文件包含漏洞

2：preg_replace的/e模式，且有可控变量，可能存在代码执行漏洞

3：phpinfo()函数，可能存在敏感信息泄露漏洞

4：call_user_func函数参数包含变量，可能存在代码执行漏洞

5：读取文件函数中存在变量，可能存在任意文件读取漏洞

6：命令执行函数中存在变量，可能存在任意命令执行漏洞

7：parse_str函数中存在变量,可能存在变量覆盖漏洞

8：双$$符号可能存在变量覆盖漏洞

9：获取IP地址方式可伪造，HTTP_REFERER可伪造，常见引发SQL注入等漏洞

10：文件操作函数中存在变量，可能存在任意文件读取/删除/修改/写入等漏洞

11：extract函数中存在变量，可能存在变量覆盖漏洞

12：检测常见代码执行和后门

13：urldecode绕过GPC,stripslashes会取消GPC转义字符

14：``反引号中包含变量，变量可控会导致命令执行漏洞

15：array_map参数包含变量，变量可控可能会导致代码执行漏洞

16：SQL语句select中条件变量无单引号保护，可能存在SQL注入漏洞

17：SQL语句delete中条件变量无单引号保护，可能存在SQL注入漏洞

18：SQL语句insert中插入变量无单引号保护，可能存在SQL注入漏洞

19：SQL语句delete中条件变量无单引号保护，可能存在SQL注入漏洞

20：eval或者assertc函数中存在变量，可能存在代码执行漏洞

21：echo等输出中存在可控变量，可能存在XSS漏洞

22：header函数或者js location有可控参数，存在任意跳转或http头污染漏洞

23：存在文件上传，注意上传类型是否可控

2023年9月18修复了GBK编码导致的异常