4
PHPソースファイルを静的に分析するソリューションが存在するのだろうかと思います。エスケープされていないクエリに関するPHPコードを分析する
私はPHPLintと他の解決策を知っています。チェックコードのスタイル。
私の興味はより一般的です:私はウェブ固有の問題を分析したいと思います。非エスケープクエリなどです。
おそらく概念的に不完全な解決策が存在しますか?
A
答えて
3
これはおそらくあなたの用途ですか? RIPS – A static source code analyser for vulnerabilities in PHP scripts
+0
これは有望そうです。ありがとうございました! – SteAp
私はそれがむしろ可能であると仮定して実装することはむしろ難しいと思います。これは便利なツールですが、コード全体で準備された文を使用すると、エスケープされていないSQLインジェクション攻撃は非常に難しくなります。 – GordonM
これはブラックリストスキャナであるため、SQLコマンドと値の連結を区別することはほとんど不可能です。概念的にさえ、magic_quotesでさえ、より信頼できるでしょう。 – mario
はい、私はそのような解決策は、軽くて不完全であることを知っています... – SteAp