本文作者：Yu（《Java代码审计（入门篇）》书籍作者之一）

本来这只是一篇普通推广《Java代码审计（入门篇）》的一则推文。良哥希望我聊点经验之谈，也好，简单聊聊关于这本书。

最初写这本书的是俊杰的一个想法，刚好徐老师在公众号发了一则可以帮忙出书的相关推文，俊杰联系了徐老师之后，便拉上了我来一起参与此书的编写。并且徐老师联系来了柯俊师傅和国宝师傅，于是作者就是我们四人。起初，我更多的是担心吧，担心完成不了这本书的编写，后来也确实因为个人能力、时间因素等等原因，原本该我编写的部分，分担给了其他几位兄弟。在数次讨论之后，定稿了目录和大体的框架内容，后续在编写的过程中，裁剪和修改了部分。如果按照最初设想写下去，估计全书会比现在再多个几百页。有人说，我们出这本书是“割韭菜“，如果有了解过图书出版过程的话，就会知道其实我们是被割的那颗”韭菜“。

这本书的定位是入门篇。那什么样的知识算是入门类的呢？从我个人的经历来看，环境的搭建、语法的学习和代码的调试等等，都算是入门类的知识。但作为一本安全类的书，也不太可能详尽的教读者如何编写 Java 代码。一个很常见的现象，学习代码审计的同学，在不知不觉的会往开发上靠拢。比如我自己就曾经学审计的时候，又干了一段时间 ThinkPHP 的开发。编码经验的确对审计有所帮助，但也并不代表会写代码，就会搞审计。在代码审计的过程中，环境搭建、学习语法和调试程序是不可避免的，所以本书便编排了相关的内容，例如第二章的环境部署和调试、第四章的 Java 语法的补充等等，是为了让想入门的人更好的入门。

这本书始终是本安全类的书，如果不做语法的介绍，那似乎对“零基础”的同学不那么友好。所以，对于想学 Java 带审计的同学，理应先简单的过一遍 Java 的语法。自学 Java 代码审计可以说的上是一个枯燥的过程，也可以说是充满挫败感的过程。学习开发的话，可以看见亲手写的程序正在运行，再熟练的使用几个框架，随手搭建一个应用，就会得到一定的成就感。而代码审计的过程，枯燥且不说，长时间的审计不一定能够有成果产生。而在学习的过程中，七零八落的从网上翻阅文章，因而往往知识是不成体系，就像拼拼图的过程。于是在第四章铺垫完部分基础知识后，第五章和第六章开始依托 OWASP TOP10 来对漏洞进行分类，逐个介绍相关漏洞，并给出了示例代码。总之，是为了帮助读者建立相应的知识体系。我很佩服良哥的信安之路，在输出文章的同时，还给入门读者构建了一套入门框架，背后付出的精力，可想而知。 

内容上的选取，我们也是多次讨论裁定的，尽力做到包含大家所感兴趣的内容。例如，如今比较流行使用 docker 搭建环境，告别了笨重的虚拟机；安全圈中常谈到的 Fastjson 反序列化漏洞相关原理；主流框架的分析与审计。前面提到，我们对书本内容进行删减，因为内容实在太多。为了承载更多的内容与分享，便有了知识星球。关于星球，不想做太多的介绍。仅放一张国宝师傅积极分享的图片吧。

这则推文的本质，仍然是推广《Java 代码审计（入门篇）》。那便小小拿出五本书，回馈给信安之路的各位读者。

每一本书都是作者的辛勤付出，耗费了大量的时间和精力的，每本书都是有受众群体的，入门的东西在大佬看来都是水货，而对于入门者而言，都是陌生的，都需要花费时间精力去学习，仁者见仁，智者见智，任何事物不可能满足所有人的需求，有需要就去买，不需要则忽略即可。

最近京东在搞每满一百减五十的活动，可以去看看，书籍购买地址，直接点击阅读原文查看，最后感谢国宝师傅的赠书：

送书活动：送书五本（参与方式需加微信 myh0st）

今天刚好七夕节，陪女朋友过节的同时，说不定运气好还能获得一本赠书，参与方式还是以前的套路：

第一步：添加微信 myh0st（关注朋友圈）

第二步：今晚 7 点 30 分，会转发本文到朋友圈，然后需要大家在朋友圈点赞（按点赞顺序排名）

开奖时间：今晚 9 点 30 分（通过朋友圈发布中奖信息，中奖者联系 myh0st 提供收货地址）

中奖号码：2，16，64，128，256（按最终点点赞顺序排号）