Посоветуйте анализатор для php

0

5

Чтобы можно было скормить ему папку с проектом, и он чекнул, не забыл ли я где-то сделать проверку данных, передаваемых от пользователя скрипту (что нет опасности инъекций).
Есть ли такие?

Ссылка

←	uwsgi использует системный питон, а не venv

Собираю команду для проекта.

→

Присоединяюсь к вопросу. А также хотелось бы чтобы был такой анализатор-генератор, который бы сгенерил за меня весь код. Ведь, очевидно, что если этот анализатор умней меня, значит он может и логику приложения за меня запилить

~~yetanotherlogin2017~~
(17.01.17 09:16:27 MSK)

Ответ на: комментарий от yetanotherlogin2017 17.01.17 09:16:27 MSK

Ну, статических анализаторов неплохих под PHP много. Но про анализ инъекций, вроде, не попадалось. Обычно с ними борются использованием разных ORM и обёрток, чтобы не конкатенировать вручную строки запросов.

~~KRoN73~~ ★★★★★
(17.01.17 10:22:27 MSK)

Используй каркас или ОРМ и проблема просто исчезнет.

anonymous
(17.01.17 10:34:51 MSK)

Ссылка

Плюсую двух комментаторов выше.

Для каждой подзадачи — обертку в одном месте, там и тестируй. Остальной код пусть вызывает эти обертки (база, пост/гет/куки, прочее).

deep-purple ★★★★★
(17.01.17 10:44:52 MSK)

Ссылка

Если не используешь prepare, но запросы шлешь - опасности инъекций есть, особенно при вводе в БД данных и фильтрации.

anonymous
(17.01.17 11:55:50 MSK)

Ссылка

Ответ на: комментарий от yetanotherlogin2017 17.01.17 09:16:27 MSK

Остроумно) Есть генераторы такие да, прямо онлайн - генерирует за тебя простые пхп-старнички с простыми модулями, только картинки вставляешь и текст, для минимальных страничек-визиток. Не думаю, что кто-то реально пользуется, хотя хз - к шаред хостингам некоторым дают.

fehhner ★★★★★
(17.01.17 12:42:40 MSK) автор топика

Ссылка

Ответ на: комментарий от KRoN73 17.01.17 10:22:27 MSK

Ну, статических анализаторов неплохих под PHP много.

У меня реализована в отдельном модуле функция проверки получаемых данных, при получении от пользователя - сначала проверяю и отфильтровываю, потом передаю в работу. Проект разросся немного, никто не застрахован от ошибки - вдруг в каком-то месте забыл её использовать (не обязательно sql, xss тот же бывает, да и многое другое). Можно название пары неплохих анализаторов? На stackoverflow предлагается множество вариантов для удалённого анализа, но зачем мне это, если проще, эффективнее и быстрее, было бы исходники проекта им прошерстить?

fehhner ★★★★★
(17.01.17 12:51:08 MSK) автор топика

Ответ на: комментарий от fehhner 17.01.17 12:51:08 MSK

при получении от пользователя - сначала проверяю и отфильтровываю

Правильно использовать данные пользователя как есть. А подвергать безопасной обработке только в соответствующих модулях, например, в том же ORM при запросе к БД. Иначе при очередном источнике данных, коих может быть множество, зевнёшь фильтрацию. Большинство уязвимостей именно на этом и вылезает.

~~KRoN73~~ ★★★★★
(17.01.17 13:16:31 MSK)