-
适用于PHP的静态安全扫描工具:php-security-scanner
资源介绍
静态分析器安全扫描程序(适用于PHP)
这将检测将不安全变量传递给不安全函数参数的情况。
用法:
bin/php-security-scanner scan path/to/files
它将搜索所有文件中的安全性问题。
例子
给出以下代码:
<?php
function bar () {
foo ( $ _GET [ 'name' ]);
}
function foo ( $ name ) {
mysql_query ( "SELECT * FROM foo WHERE name = '$name'" );
}
?>
在该文件上运行扫描程序将错误消息标识为4,并显示以下消息:
在对foo()参数编号1的调用中找到了可能SQL注入
支持的漏洞扫描程序:
当前,仅在有限的情况下,仅支持mysql_query 。