PHP Quelltexte analysieren

P

port29

deus.Server
Hallo,

ich wollte mal nachfragen, ob ihr irgendwelche Tools kennt, die PHP Quelltexte analysieren und mögliche Fehler aufdecken können. Ich suche im Grunde genommen so etwas, wie FxCop für das .Net Framework aber eben nur für PHP. Das Problem ist, dass ich ein PHP Script für einen Kunden erworben habe, mein Gefühl sagt mir, dass dort Bugs enthalten sind. Allerdings kann ich tausende von Quelltext Zeilen nicht per Hand analysieren.
 
Also erstmal: Mir ist so ein Programm nicht bekannt.

Aber mal anders: Wenn dein Gefühl dir sagt, dass in dem Script Bugs drin sind, warum testest du dann nicht ein bisschen rum und findest vielleicht einen konkreten Bug? Das würde dir erstmal die Quellcodeanalyse ersparen und, wenn du was findest, kannst du gezielter suchen.
 
Könnte dir diese Funktion vllt helfen:
PHP: 
http://de.php.net/manual/de/function.php-check-syntax.php

Wobei da keine Bugs wie Sicherheitslücken etc erkannt werden!
 
Tim Bureck hat gesagt.:
Aber mal anders: Wenn dein Gefühl dir sagt, dass in dem Script Bugs drin sind, warum testest du dann nicht ein bisschen rum und findest vielleicht einen konkreten Bug? Das würde dir erstmal die Quellcodeanalyse ersparen und, wenn du was findest, kannst du gezielter suchen.
Zum Vergrößern anklicken....

Das Problem an der Sache ist, dass solche Tests sehr lange dauern. Und wenn ich nichts finde, bedeutet es nicht, dass es keine Bugs gibt. (Okay, bei einem Software-Test bedeutet es auch nicht, aber es ist dann deutlich genauer.) Eine andere Frage ist, wieso man eine laufende Software angreifen sollte, wenn man die Quelltexte hat - ich die jedoch nicht wegen der Größe analysieren kann.
 
saftmeister hat gesagt.:
Meinst du sowas? http://www.fortify.com/security-resources/rats.jsp
Zum Vergrößern anklicken....

Ja, genau so etwas in der Art. Allerdings scheint dieses Tool nicht wirklich weit genug zu gehen, es scheint mir einfach nur den Quelltext durchzugehen und bei bestimmten Befehlen zu meckern. Aber Probleme, wie SQL Injections oder XSS werden nicht bemängelt. Ich nutze da nochmalerweise Acunetix, doch es funktioniert eben per Remote. Und wenn man selbst nicht das Script geschrieben hat, kann man möliche Einstiegspunkte in das Script übersehen. Deshalb wollte ich auch eine Quelltextanalyse haben.
 
Man kann natürlich auch Suhosin verwenden, wenn man auch noch Nessus verwenden möchte, ist das denke ich eine recht gute Kombination.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück