PHP 业务逻辑漏洞审计（php-logic-audit）

分析 PHP 项目中“业务流程正确性”相关缺陷。重点覆盖：

• Mass Assignment（批量赋值导致可越权字段被写入）
• 流程绕过（前置状态缺失或校验可被跳过）
• 状态机缺陷（状态更新不完整/可回滚/不一致）
• 竞态条件（TOCTOU、并发导致多次发放、重复扣款等）
• 越权的业务层校验缺失（与 IDOR 联动，但更关注业务归属一致性）
• 付款/退款/异步任务顺序漏洞（异步回调可被伪造或重复处理）

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-LOGIC-{序号}