序言

我第一次見到尹毅是2013年在北京中關村。那時候我正在安全寶創業，我們需要招募到最好的人才。這時候尹毅的博客吸引了我，在一個技術分享逐漸枯竭的時代，他的博客令人眼前一亮。然后我試圖聯系到了他，并邀請到北京來聊一聊。

讓我大吃一驚的是，尹毅當時還是一個孩子模樣，但是時不時能從生澀的臉龐里看到成熟。在這個年紀就出來工作，我想他一定吃過很多苦。在之后的工作中，尹毅展現出了驚人的天賦。交給他的工作總是能迅速并出色地完成，并時不時會在工作中有一些創新性成果令人驚喜。他的自驅力極強，總是不滿足于簡單的工作，于是我不得不想出一些更復雜和艱難的挑戰交給他。

2014年9月，安全寶分拆了部分業務被阿里收購，我帶著尹毅一起到了阿里。此時他已經成為一個安全團隊的Leader，在中國最大的互聯網公司里貢獻著力量。

尹毅學東西很勤奮，他平時的業余時間就是寫代碼，或者看技術文章，因此進步迅速。他很快就在Web漏洞挖掘能力方面有了長足的進步，并取得了不錯的成績，他陸續發現了好些開源軟件的高危漏洞。最難能可貴的是，他開始逐步總結這些經驗，并且沉淀在自己開發的一個漏洞挖掘工具里。這讓他學會了如何從重復的體力勞動中解放出來，把精力用在更有價值的地方。這是一個優秀黑客應具有的特質：厭倦重復性的體力勞動，而對創新充滿著無限的熱情和旺盛的精力。

尹毅認為，一個好的黑客，必須要懂編程。這也是他在這本書里所倡導的理念。在他看來，不懂編程、沒挖過漏洞的黑客，充其量只能算“腳本小子”。所以，尹毅在本書的出發點是從代碼審計開始，通過代碼審計，去發現和挖掘漏洞。

漏洞挖掘是一門藝術，同時也是信息安全的核心領域。安全技術發展到今天，常見的漏洞挖掘技術有代碼審計、黑盒測試、Fuzzing、逆向分析等。每一種技術都有獨到之處，而其中，代碼審計又是最基本、最直接的一種方式，是每一個安全專家都應該掌握的技能。

但時至今日，全自動化的代碼審計仍然存在很多困難，主要難點在于理解編程語言的語法、跨文件之間的關聯調用、理解開發框架、業務邏輯等地方。因為這些困難在短期內難以克服，所以通過代碼審計來挖掘漏洞，仍然是一種極具技巧性和需要豐富經驗的工作。在本書中，尹毅根據他自身的經驗和學習成果，對這些知識技巧做了一個很好的總結。

本書雖然主要講述的是PHP代碼安全問題，但其中的很多思想和案例都非常具有代表性。同時，因為互聯網上大量的Web應用都是由PHP寫成的，因此研究PHP代碼安全對于整個互聯網Web安全的研究具有至關重要的作用。對于新人來說，非常建議從本書中講述的內容開始學習。

吳翰清，阿里云云盾負責人，《白帽子講Web安全》作者

2015.9.20