phpReaperSQL注入漏洞代码审计工具

  • A+
所属分类:网络安全工具
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

phpReaperSQL注入漏洞代码审计工具

运行PHP-Reaper比在您的应用程序中运行完整的自动安全扫描程序要少得多。Web安全扫描程序可能找不到所有可能的SQL注入漏洞,因为难以从UI访问代码(或需要设置罕见的条件)。PHP-Reaper是快速的,并确定问题所在的确切行,扫描所有PHP代码。

例子

易受攻击的SQL查询#1:

  1. $ dbConn - > GetRow(“ SELECT  *  FROM users WHERE id =  $ user_id ”);

正确的SQL查询#1:

  1. $ dbConn - > GetRow(“ SELECT  *  FROM users WHERE id =?”,array(' $ user_id '));

易受攻击的SQL查询#2:

  1. $ ids  =  join(',',$ ids);
  2. $ dbConn - > GetAll(“ SELECT  *  FROM campaign WHERE id IN({ $ ids })”);

正确的SQL查询#2:

  1. $ dbConn - > GetAll(' SELECT  *  FROM campaigns WHERE FIND_IN_SET(id,' 。 $ dbConn - > Param(' ')。 ')',array(join(',',$ ids)));

使用方法

使用php文件递归扫描目录:

php php-reaper -d directory_with_php_files

或扫描单个文件:

php php-reaper -f single_file.php

下载地址

部分内容被隐藏
需登陆后可查看
CE安全网

发表评论

您必须登录才能发表评论!