#php #mysql #sql-injection #static-analysis
#php #mysql #sql-инъекция #статический анализ
Вопрос:
Существует ли инструмент статического анализа для идентификации sql-инъекции для php / mysql.
Инструмент, который запускается на php-скрипте, проанализирует операторы sql и обнаружит, существуют ли какие-либо возможные возможности sql-инъекции для операторов sql.
Комментарии:
1. Просто не забудьте экранировать входные данные, или вы можете проверить наличие определенных ключевых слов, но это может возвращать ложные срабатывания.
Ответ №1:
Не уверен, существует ли подобный инструмент для PHP-скрипта, но инструменты security compass отлично подходят для первого анализа :
Ответ №2:
То, что я обнаружил, довольно разочаровывает.
RATS (брендированный как Fortify) имеет некоторую поддержку PHP, но он не обнаруживает SQL-инъекции. По-видимому, ребята из HP сосредоточены на приложениях .NET и Java.
Проект OWASP SWAAT кажется мне мертвым.
RIPS Scanner — это инструмент, который вы можете установить на свой веб-сервер и перемещаться по исходному коду вашего приложения в веб-интерфейсе. К сожалению, он просто зависает у меня, когда я его открываю.
Существует онлайн-инструмент под названием DevBug. Не очень полезно сканировать всю вашу кодовую базу, но это полезно для начинающих практиковать безопасность.