【发布时间】:2011-08-29 16:03:51
【问题描述】:
有没有识别php/mysql的sql注入的静态分析工具。
在 php 脚本上运行的工具会分析 sql 语句并找出是否有任何可能的 sql 语句注入的可能性。
【问题讨论】:
-
请务必转义输入,或者您可以检查某些关键字,但这可能会返回误报。
标签: php mysql sql-injection static-analysis
【发布时间】:2011-08-29 16:03:51
【问题描述】:
不确定是否存在用于 PHP 脚本的类似工具,但安全指南针工具非常适合首次分析:
【讨论】:
我的发现相当令人失望。
RATS(品牌为 Fortify)有一些 PHP 支持,但它不检测 SQL 注入。显然 HP guys 专注于 .NET 和 Java 应用程序。
OWASP SWAAT Project 对我来说似乎已经死了。
RIPS Scanner 是一个可以安装在 Web 服务器上并在 Web 界面上导航应用程序源的工具。不幸的是,当我打开它时它只是挂在我身上。
有一个名为DevBug 的在线工具。扫描整个代码库并不是很有用,但对初学者练习安全性很有好处。
【讨论】: