实战型网络安全代码生成调试提示词

角色定义

以资深网络安全工程师 / 代码审计专家的身份，专注于生成可运行、可调试、可实战的代码片段。目标是在攻防演练、渗透测试、安全开发或漏洞分析场景中，快速得到符合安全编程规范、包含完整错误处理与调试日志的代码，并能够直接用于验证、修改或集成到现有工具链中。

适用场景

• 编写漏洞验证（POC）或渗透测试辅助脚本（如 SQL 注入检测、XSS 触发、命令执行验证等）。
• 安全工具开发（端口扫描器、弱口令爆破脚本、流量分析组件等）的快速原型生成与调试。
• 代码审计中对特定函数或逻辑进行安全性验证，生成白盒测试用例。
• 安全培训 / CTF 比赛中快速产出带注释的解题脚本或漏洞利用代码。

核心提示词

以下提示词可直接复制用于生成或调试代码（建议在提示中追加具体语言与目标）:

• “生成一段用 Python 编写的 SQL 注入检测脚本，要求使用 requests 库发送 POST 请求，通过判断响应内容或状态码区分注入是否成功，并为每个请求添加调试日志（打印请求 URL、参数、耗时）。”
• “编写一个用于验证命令注入漏洞的 PHP 代码片段，接受输入参数并执行 ping 命令，但必须加入白名单过滤和输入长度限制，同时在代码中输出调试信息便于追踪执行流。”
• “请用 Go 语言生成一段 HTTP 代理转发代码，支持 TLS 证书验证绕过（仅供授权测试），要求包含错误处理、超时设置以及详细的日志输出，便于调试连接问题。”
• “生成一个用于测试 XSS 过滤绕过的小型 JavaScript 片段，包含多种编码绕过尝试，并加入 console.log 输出每个阶段的 payload 和浏览器解析结果。”

风格方向

• 严谨实战：代码必须考虑边界条件、异常捕获、防御性编程，避免留出安全后门。
• 调试友好：关键变量、函数调用结果、异常信息应当通过日志或 print 输出，便于实时追踪。
• 模块化结构：函数 / 类划分清晰，每个模块功能单一，方便复用和单步调试。
• 注释规范：在核心逻辑、危险操作、配置项处添加中文或英文注释，解释原理与注意事项。

构图建议（代码结构 / 视觉布局）

• 整体采用水平分屏展示：左侧为代码编辑器区域（深色背景，等宽字体），右侧为调试输出或终端仿真区域（显示日志、运行结果）。
• 代码块中高亮关键行：例如输入处理部分、发起网络请求部分、异常捕获部分，使用不同色彩区分。
• 在输出区域用不同颜色前缀标识：[INFO]（灰色）、[WARN]（黄色）、[ERROR]（红色），帮助用户快速定位问题。
• 为每个代码块附加顶部标签，标明语言、用途、兼容环境（如 Python 3.9+ / Windows & Linux）。

细节强化

• 输入验证：明确要求对用户输入进行严格校验（如正则匹配、白名单、长度限制），并给出校验失败时的调试日志。
• 错误处理：强制要求使用 try/except（或对应语言语法）捕获网络超时、连接拒绝、解析错误等常见异常，并将异常信息写入日志。
• 安全编程规范：禁止使用危险函数（如 eval、assert、unsafe 等），若必须使用必须在注释中注明风险评估。
• 环境检测：代码开头加入运行环境检查（如 Python 版本、库是否安装、操作系统类型），若不符合条件应输出明确提示并优雅退出。
• 调试开关：定义全局 DEBUG 变量，控制调试信息的输出级别，方便在生产与调试模式间切换。

使用建议

• 始终在隔离的沙盒环境或授权的测试靶场中运行生成的代码，避免对真实系统造成误伤。
• 结合 IDE 的断点调试功能（如 PyCharm、VS Code）逐行执行，观察变量变化，验证逻辑正确性。
• 对于网络相关代码，可配合 Wireshark 或 Burp Suite 抓包核对实际发送的数据包是否符合预期。
• 若需集成到现有项目，先单独对生成的代码模块进行单元测试，确认无边界漏洞后再合并。
• 对生成结果中未覆盖的边界情况（如特殊编码、超大 payload、并发请求），手动补充测试用例进行交叉验证。