本发明涉及一种Webshell检测方法、装置、存储介质和设备，包括将匹配预设威胁输入库的待检测PHP代码中的变量和函数标识为外部输入标记后，并根据带有外部输入标记的变量和函数，将编译待检测PHP代码得到的对应的操作码Opcode执行所得到的结果标识为外部输入标记；执行Opcode代码，并根据当前执行过程将外部输入标记进行传递，得到处理结果；若处理结果中的变量的值和/或函数的返回值带有外部输入标记，从处理结果中所提取的函数匹配预设威胁函数库中的威胁函数且包含威胁参数时，则待检测PHP代码是Webshell。本发明针对检测混淆变形以及较复杂的Webshell具有显著的效果，同时检测方法简便，可提高检测效率。