PHP 加密与密钥安全审计（php-crypto-audit）

分析 PHP 项目源码中密码/令牌/敏感数据的加密与哈希实现，检测：

• 弱哈希（MD5/SHA1/无 salt）
• 不安全的对称/非对称加密使用（ECB、固定 IV、错误模式）
• 签名校验缺陷（JWT 未验证、HMAC 用错、算法选择可控）
• 硬编码密钥/明文 key 泄露

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-CRYPTO-{序号}

必检 Sink（强制）

必须搜索并分析以下实现点（按项目实际替换）：

• 密码哈希：md5/sha1/hash（非 password_hash）、crypt 参数误用
• 安全哈希：password_hash/password_verify（检查是否参数正确）
• 对称加密：openssl_encrypt/decrypt（检查 mode/iv）
• 签名：hash_hmac、openssl_sign、JWT verify/签名比较实现