有没有识别php/mysql的sql注入的静态分析工具
Posted
技术标签:
【中文标题】有没有识别php/mysql的sql注入的静态分析工具【英文标题】:Is there a static analysis tool for identifying sql injection for php/mysql 【发布时间】:2011-08-29 16:03:51 【问题描述】:。
在 php 脚本上运行的工具会分析 sql 语句并找出是否有任何可能的 sql 语句注入的可能性。
【问题讨论】:
请务必转义输入,或者您可以检查某些关键字,但这可能会返回误报。 【参考方案1】:不确定是否存在用于 PHP 脚本的类似工具,但安全指南针工具非常适合首次分析:
http://labs.securitycompass.com/index.php/exploit-me/
【讨论】:
【参考方案2】:我的发现相当令人失望。
RATS(品牌为 Fortify)有一些 PHP 支持,但它不检测 SQL 注入。显然 HP guys 专注于 .NET 和 Java 应用程序。
OWASP SWAAT Project 对我来说似乎已经死了。
RIPS Scanner 是一个可以安装在 Web 服务器上并在 Web 界面上导航应用程序源的工具。不幸的是,当我打开它时它只是挂在我身上。
有一个名为DevBug 的在线工具。扫描整个代码库并不是很有用,但对初学者练习安全性很有好处。
【讨论】:
以上是关于有没有识别php/mysql的sql注入的静态分析工具的主要内容,如果未能解决你的问题,请参考以下文章