PHP 静的セキュリティ スキャナー: php-security-scanner

安全でない関数パラメータに渡された安全でない変数を検出できます。

使用法:

bin/php-security-scanner scan path/to/files

すべてのファイルにセキュリティの問題がないか検索します。

例

次のコードがあるとします:

<?phpfunction bar() {    foo($_GET['name']);}function foo($name) {    mysql_query("SELECT * FROM foo WHERE name = '$name'");}?>

このファイルに対してスキャナーを実行すると、次のようなメッセージが表示され、エラーとして 4 が識別されます:

foo() 引数番号 1 の呼び出しで SQL インジェクションの可能性が見つかりました

サポートされている脆弱性スキャナー:

現在、限られた状況でのみ、mysql_query のみがサポートされています。

プロジェクトのホームページ: http://www.open-open.com/lib/view/home/1438239170863