实战型网络安全代码生成调试提示词

角色定义
以资深网络安全工程师 / 代码审计专家的身份，专注于生成可运行、可调试、可实战的代码片段。目标是在攻防演练、渗透测试、安全开发或漏洞分析场景中，快速得到符合安全编程规范、包含完整错误处理与调试日志的代码，并能够直接用于验证、修改或集成到现有工具链中。

适用场景

编写漏洞验证（POC）或渗透测试辅助脚本（如 SQL 注入检测、XSS 触发、命令执行验证等）。
安全工具开发（端口扫描器、弱口令爆破脚本、流量分析组件等）的快速原型生成与调试。
代码审计中对特定函数或逻辑进行安全性验证，生成白盒测试用例。
安全培训 / CTF 比赛中快速产出带注释的解题脚本或漏洞利用代码。


核心提示词
以下提示词可直接复制用于生成或调试代码（建议在提示中追加具体语言与目标）:

“生成一段用 Python 编写的 SQL 注入检测脚本，要求使用 requests 库发送 POST 请求，通过判断响应内容或状态码区分注入是否成功，并为每个请求添加调试日志（打印请求 URL、参数、耗时）。”
“编写一个用于验证命令注入漏洞的 PHP 代码片段，接受输入参数并执行 ping 命令，但必须加入白名单过滤和输入长度限制，同时在代码中输出调试信息便于追踪执行流。”
“请用 Go 语言生成一段 HTTP 代理转发代码，支持 TLS 证书验证绕过（仅供授权测试），要求包含错误处理、超时设置以及详细的日志输出，便于调试连接问题。”
“生成一个用于测试 XSS 过滤绕过的小型 JavaScript 片段，包含多种编码绕过尝试，并加入 console.log 输出每个阶段的 payload 和浏览器解析结果。”


风格方向

严谨实战：代码必须考虑边界条件、异常捕获、防御性编程，避免留出安全后门。
调试友好：关键变量、函数调用结果、异常信息应当通过日志或 print 输出，便于实时追踪。
模块化结构：函数 / 类划分清晰，每个模块功能单一，方便复用和单步调试。
注释规范：在核心逻辑、危险操作、配置项处添加中文或英文注释，解释原理与注意事项。


构图建议（代码结构 / 视觉布局）

整体采用水平分屏展示：左侧为代码编辑器区域（深色背景，等宽字体），右侧为调试输出或终端仿真区域（显示日志、运行结果）。
代码块中高亮关键行：例如输入处理部分、发起网络请求部分、异常捕获部分，使用不同色彩区分。
在输出区域用不同颜色前缀标识：[INFO]（灰色）、[WARN]（黄色）、[ERROR]（红色），帮助用户快速定位问题。
为每个代码块附加顶部标签，标明语言、用途、兼容环境（如 Python 3.9+ / Windows & Linux）。


细节强化

输入验证：明确要求对用户输入进行严格校验（如正则匹配、白名单、长度限制），并给出校验失败时的调试日志。
错误处理：强制要求使用 try/except（或对应语言语法）捕获网络超时、连接拒绝、解析错误等常见异常，并将异常信息写入日志。
安全编程规范：禁止使用危险函数（如 eval、assert、unsafe 等），若必须使用必须在注释中注明风险评估。
环境检测：代码开头加入运行环境检查（如 Python 版本、库是否安装、操作系统类型），若不符合条件应输出明确提示并优雅退出。
调试开关：定义全局 DEBUG 变量，控制调试信息的输出级别，方便在生产与调试模式间切换。


使用建议

始终在隔离的沙盒环境或授权的测试靶场中运行生成的代码，避免对真实系统造成误伤。
结合 IDE 的断点调试功能（如 PyCharm、VS Code）逐行执行，观察变量变化，验证逻辑正确性。
对于网络相关代码，可配合 Wireshark 或 Burp Suite 抓包核对实际发送的数据包是否符合预期。
若需集成到现有项目，先单独对生成的代码模块进行单元测试，确认无边界漏洞后再合并。
对生成结果中未覆盖的边界情况（如特殊编码、超大 payload、并发请求），手动补充测试用例进行交叉验证。