php作为一门编程语言，其因为代码学习难度较小，漏洞出现率相比java要高一些，通常都是大多数人学习代码审计的入门选择——bulecms。作为最早期的cms之一，今天带大家如何快速掌握审计流程，文末有下载链接。

正式开始了，骚年。可以看到目录结构，这里都是php原生文件，没有采用class文件，说明了这套源码没有采用框架。接着第一步就是分析下代码的入口文件（根路径下的index.php文件）。文件头首先是包含了两个文件include/common.inc.php和include/index.fun.php，这里我们就可以判断出include文件夹下应该都是网站的一些配置文件。

开始跟踪，首先common.inc.php可以看到这里主要进行了一些网站的配置，例如包含了一些配置型文件，对传入属性进行了过滤（调用了deep_addslashes方法）,并且做了鉴权处理。