前言

網絡安全是國家戰略安全的一部分，網絡空間的博弈對抗，實質上是人與人之間的對抗。網絡安全人才是實施國家戰略安全的核心力量之一，培養網絡安全從業者的實戰對抗能力，是落實國家安全戰略、確保各行各業網絡信息系統安全的基礎。《道德經》中提及“知其白，守其黑，為天下式”，對應到網絡安全人才成長路線，就是要從了解攻擊模式、掌握安全漏洞分析和利用方法開始，制定有效的安全策略，分析可能的安全漏洞，設計安全的程序。

從互聯網發展開始到如今，PHP編程語言及基于該語言實現的各類網絡信息系統占據了Web應用的半壁江山。歷史上，由于缺乏安全編碼規范、PHP代碼安全分析與審計的工具和方法普及不足等，一度出現了PHP漏洞盛行的不良局面。在此背景下，行業內出現了大量自發學習、研究、運用PHP漏洞分析與代碼審計的愛好者，國內CTF類比賽也將這一方向作為重要的考察內容。但是由于缺少相關的系統性學習資料，網文、博客等也多以理論性介紹為主，很多初學者在學習、實踐中無從下手。

筆者有幸在該領域躬耕多年，積累了豐富的PHP代碼漏洞分析、安全審計實戰經驗。合作作者李家輝、孔韜循是筆者多年的朋友，在這一領域也頗有建樹。在他們的鼓勵和幫助下，我們成立了編寫組，針對當前PHP代碼安全分析領域的特點和需求，結合編寫組同人的經歷和經驗，制訂了詳細的編寫計劃，精心設計實驗用例并逐一驗證測試，進而形成本書的雛形。

在寫作過程中，我們發現從不同的思維角度能更清楚地描述網絡安全技術。于是，我們邀請廣州大學專職教師王樂老師加入編寫組，將“實戰化教學與思辨能力培養”的教學理念融入本書的設計和編寫中，我們齊心合力，經過多輪的修改迭代，最終成稿。

本書可以作為PHP代碼安全分析初學者的實驗指導書，也可以作為Web安全研究者的參考手冊。由于信息技術發展迅速，網絡安全對抗與博弈技術瞬息萬變，本書的各位作者雖然盡了全力，但難保完美無缺。如果讀者發現關于本書的任何問題、不足或建議，請反饋給作者，以期改進！你可以通過QQ交流群（874215647）或者添加作者微信（曹玉杰（xiaoh-660）、李家輝（LJ_Seeu）、孔韜循（Pox-K0r4dji））與我們聯系。

曹玉杰

2021年春