phpReaperSQL注入漏洞代码审计工具

  • A+
所属分类:网络安全工具

phpReaperSQL注入漏洞代码审计工具

运行PHP-Reaper比在您的应用程序中运行完整的自动安全扫描程序要少得多。Web安全扫描程序可能找不到所有可能的SQL注入漏洞,因为难以从UI访问代码(或需要设置罕见的条件)。PHP-Reaper是快速的,并确定问题所在的确切行,扫描所有PHP代码。

例子

易受攻击的SQL查询#1:

  1. $ dbConn - > GetRow(“ SELECT  *  FROM users WHERE id =  $ user_id ”);

正确的SQL查询#1:

  1. $ dbConn - > GetRow(“ SELECT  *  FROM users WHERE id =?”,array(' $ user_id '));

易受攻击的SQL查询#2:

  1. $ ids  =  join(',',$ ids);
  2. $ dbConn - > GetAll(“ SELECT  *  FROM campaign WHERE id IN({ $ ids })”);

正确的SQL查询#2:

  1. $ dbConn - > GetAll(' SELECT  *  FROM campaigns WHERE FIND_IN_SET(id,' 。 $ dbConn - > Param(' ')。 ')',array(join(',',$ ids)));

使用方法

使用php文件递归扫描目录:

php php-reaper -d directory_with_php_files

或扫描单个文件:

php php-reaper -f single_file.php

下载地址

部分内容被隐藏
需登陆后可查看
  • 服务器购买微信群
  • 阿里云&腾讯云&国外VPS
  • weinxin
  • 服务器购买QQ群
  • 阿里云&腾讯云&国外VPS
  • weinxin
CE安全网

发表评论

您必须登录才能发表评论!