php源代码怎么分析

1、php源代码怎么分析，用什么工具系统查看源代码比较好？

静态源代码安全检测工具比较

1. 概述

随着网络的飞速发展，各种网络应用不断成熟，各种开发技术层出不穷，上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时，安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站，如何保证网站的安全成为一个非常热门的话题。

根据IT研究与顾问咨询公司Gartner统计数据显示，75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此，应用软件的自身的安全问题是我们信息安全领域最为关心的问题，也是我们面临的一个新的领域，需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程，将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。

对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法，这种方法仍然带有明显的黑盒测试本身的不足，需要大量的测试用例来进行覆盖，且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越成为一种流行的技术，使用源代码扫描产品对软件进行代码扫描，一方面可以找出潜在的风险，从内对软件进行检测，提高代码的安全性，另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合，可以使得软件的安全性得到很大程度的提高。

源代码分析技术由来已久，Colorado 大学的 Lloyd D. Fosdick 和 Leon J. Osterweil 1976 年的 9 月曾在 ACM Computing Surveys 上发表了著名的 Data Flow Analysis in Software Reliability，其中就提到了数据流分析、状态机系统、边界检测、数据类型验证、控制流分析等技术。随着计算机语言的不断演进，源代码分析的技术 也在日趋完善，在不同的细分领域，出现了很多不错的源代码分析产品，如 Klocwork Insight、Rational Software Analyzer 和 Coverity、Parasoft 等公司的产品。而在静态源代码安全分析方面，Fortify 公司和 Ounce Labs 公司的静态代码分析器都是非常不错的产品。对于源代码安全检测领域目前的供应商有很多，这里我们选择其中的三款具有代表性的进行对比，分别是 Fortify公司的Fortify SCA，Security Innovation公司的Checkmarx Suite和Armorize公司的CodeSecure。

2. 工具介绍

2.1. Fortify SCA(Source Code Analysis)

Fortify Software公司是一家总部位于美国硅谷，致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用 安全管理人员提供工具并确立最佳的应用软件安全实践和策略，帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。 Fortify SCA是Fortify360产品套装中的一部分，它使用fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。

优点：目前全球最大静态源代码检测厂商、支持语言最多

缺点：价格昂贵、使用不方便

2.2. Checkmarx CxSuite

Checkmarx 是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题，其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。

优点：利用CxQL 查询语言自定义规则

缺点：输出报告不够美观、语言支持种类不全面

2.3. Armorize CodeSecure

阿码科技成立于2006年，总部设立于美国加州圣克拉拉市，研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案，捍卫企业免于受到黑客利用 Web 应用程序的漏洞所发动的攻击。阿码科技 CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出 Web 应用程序风险，并清楚交代风险的来龙去脉 (如何进入程序，如何造成问题) 。CodeSecure内建语法剖析功能无需依赖编译环境，任何人员均可利用 Web操作与集成开发环境双接口，找出存在信息安全问题的源代码，并提供修补建议进行调整。CodeSecure依托于自行开发的主机进行远程源代码检 测，在保证速度稳定的同时方便用户进行Web远程操作。

优点：Web结合硬件，速度快、独具特色的深度分析

缺点：支持语言种类较少、价格不菲

3. 对比

Fortify SCA简写为SCA，Checkmarx CxSuite简写为CxSuite，Armonize CodeSecure简写为CodeSecure。

SCA CxSuite CodeSecure

厂商 Fortify Software Checkmarx 阿码科技

支持语言 Java,JSP,ASP.NET,C#,

VB.NET,C,C++,COBOL,

ColdFusion,Transact-SQL,

PL/SQL,JavaScript/Ajax,

Classic,ASP,VBScript,VB6,PHP JAVA、ASP.NET（C#、VB.NET）、JavaScript、Jscript、C/C++、APEX ASP.NET（C#、VB.NET）、ASP、JAVA、PHP

风险种类 400种 300种 参考CWE

风险类型参考来源 CWE、OWASP CWE、OWASP CWE、OWASP

漏报率 最低 低 低

误报率 稍高 低 低

是否支持SaaS 否 否 是

软硬件类型 纯软件 纯软件 Web结合硬件设备

运行平台 无限制 WindowsNET Framework 2.0 无限制

运行速度 取决于电脑配置速度不定 取决于电脑配置速度不定 由主机配置决定速度恒定

报告格式 PDF PDF、XML、CSV、HTML Web、PDF

报告内容 完整按照风险级别不同分为多个文件 核心内容完整扫描信息等缺失 非常完整但修改建议放于最后

报价 100万/软件 70万/软件 100万/软硬件

性价比 中 高 低

从软件支持的源代码语言上来说，Fortify SCA（下文简称SCA）支持多达17种语言，Checkmarx CxSuite（下文简称CxSuite）其次，而Armonize CodeSecure（下文简称CodeSecure）在三款软件中支持的最少，仅仅支持几种最常见语言，不过这几种基本涵盖了绝大多数应用中使用的编程语言，基本上可以支持现在大多数应用的源代码扫描。

从风险的分类来说，各个厂商都有其自己独特的分类方式和不同的种类数量，不过从实际应用中可以看出，总体上仍为OWASP公布的几类风险，如SQL注入、跨站脚本等，已经可以满足实际中开发人员和测试人员的需求，对于各个厂商不同的部分，一般来说主要的区别在于理解不同，看问题的角度不同，并无谁错谁对之原则性问题。

从运行平台 的角度，CodeSecure这个产品目前看来已经将SaaS的理念很好的融合进来，整个软件的操作界面为Web方式，用户可以通过网页进行操作，B/S 的方式可以将操作系统的影响降到最低，只要有一台可以上网的电脑和浏览器，无论什么操作系统都可以使用CodeSecure远程进行源代码扫描，CodeSecure依托的是一台Armonize自行研制的主机，使用硬件设备的好处在于可以适用于多种场合，不会因为测试人员或是开发人员的电脑配置影响扫描速度，扫描的速度完全取决于主机的性能。而SCA和CxSuite主要还是单机软件，但目前也在不断地向SaaS的方向进行过渡，并且提供了相当全面的贯彻整个软件开发流程（SDLC）的解决方案与服务给用户。其中CxSuite这个产品标明了使用该软件的硬件配置，为Windows操作系统 和.NET框架，这个产品目前应该为利用.NET框架进行开发，所以运行环境有一定的局限性。同时，SCA和CxSuite因为是单机软件，一方面在使用 前需要安装，另一方面其运行速度取决于运行软件的电脑性能，对于使用该软件的电脑配置有一定的要求。

三种产品都使用了各自的技术对于威胁进行检测，SCA使用的是已获得专利的X-Tier™数据流分析器，这三种产品中只有CxSuite声称可以达到零误报率，因为 其对于风险的理解是风险必须在外形上呈现出来才被考虑为实际的风险，这种理解方式可以说是别出心裁，从代码安全的角度来说，检测的目的是为了发现问题并及时改正，同时要针对于最关键的问题进行改正，这也是这三款软件都包含TOP X的统计的目的，从这一点上讲，CxSuite的风险报告是非常谨慎的。SCA在以前的使用中发现有一定的误报率，不过换个角度想，误报相比漏报是可以容 忍的，规则越严格，误报率就会相应的上升而漏报率就会相应的下降，源代码检测工具目前均为静态的进行代码的扫描，即所有的检测均是按照“规则”来进行，任 何一款产品都不可能达到真正的零误报、零漏报。所以可以说SCA的规则检查稍显简单，CxSuite和CodeSecure的检查比较谨慎。

而从漏报率上来看，谨慎的查找势必会导致漏报率的提升，这一点上SCA和CodeSecure只说明了低漏报率，而CxSuite内部包含了一种类似于C#称为 CxQL的查询语言，支持使用这种语言进行查询，方便用户进行特定的查找。另两款软件使用的都是规则的方式，其本质上应该是相类似的，这一点上规则似乎更 容易被用户接收，但是CxQL的方式确实增强了用户的操作性。

从结果输出 上来说，三款软件都支持多种输出方式，而作为报告PDF格式可以说是最书面的一种格式。在这一点上，三款软件输出格式略有不同。

SCA报告构成如下：扫描概述、按风险的分类进行详细描述，包括每个风险的发现位置，代码上下文，风险源和风险输出，以及改进方法，各类风险描述之后是按照风险类别 的所有风险的统计和按照风险等级的统计图表。SCA的每种类型的文件生成一个PDF文件，便于用户对于风险严重程度的不同采取不同的策略。

CxSuite 报告构成如下：风险按照不同分类方式的统计图、风险的数据统计情况、风险最高的文件TOP 10、按照类别进行风险详述，包括风险的名称、描述、常见危害、在软件开发各阶段的相应处理方式、详细示例，列举每一个风险的传输路径和相应位置代码。

CodeSecure 报告构成如下：目录、重点精华，包括检测信息、弱点密度规范分布趋势、弱点最多的文件TOP 5，弱点索引，弱点的详细信息，包括弱点的全程跟踪，最后是弱点信息及修改建议、所有的进入点。

三款软件的 报告中以SCA的最有特色，将不同级别的风险分文件显示对于程序员进行修改是极为方便的；CodeSecure的报告最为规范，整个文档包括目录，结构完 整，唯一的不足是将风险的修改建议放在了最后，查阅有些不便；CxSuite的内容可以说是最概要的，只包含了风险的最关键内容，对于程序员来说应该是最 简洁的。

4.

这三款静态源代码扫描工具都有其各自特色，SCA支持的语言多达17种，基本上涵盖了绝大多数的应用，具有相 当广泛的适用性，但同时也使得其价格非常昂贵；CxSuite支持的语言包括常见Web应用的语言，适用范围基本上包括了大部分的应用，其使用独创的语言来自定义规则非常有特色，价格较之SCA有一定的优势；CodeSecure支持的语言较少，不过基本上可以适用于当前大多数的B/S结构应用，它是唯一 的软硬件结合的产品，在免除用户安装步骤的同时将扫描运行于特定设备之上，有助于提高运行速度，也因为包括硬件的缘故，其价格不菲。

SCA极广的适用性使其适用于横跨多种语言的开发和测试人员，CxSuite的较高性价比使其适于基于Web 的开发人员和测试人员，CodeSecure稳定的速度和B/S的独特结构使得Web开发或测试的多人同时使用变得极为方便。

随着应用的安全性越来越受到人们的重视，静态源代码扫描和动态扫描将逐渐融合，未来将会有更多更优秀的源代码扫描工具诞生，让我们拭目以待吧。

附录A 其他静态源代码检测产品

公司 产品 支持语言

art of defence Hypersource JAVA

Coverity Prevent JAVA .NET C/C++

开源 Flawfinder C/C++

Grammatech CodeSonar C/C++

HP DevInspect JAVA

KlocWork Insight JAVA .NET C/C++，C#

Ounce Labs Ounce 6 JAVA .NET

Parasoft JTEST等 JAVA .NET C/C++

SofCheck Inspector for JAVA JAVA

University of Maryland FindBugs JAVA

Veracode SecurityReview JAVA .NET

FindBug PMD／Lint4

2、商城网站源码是用PHP开发的好用吗？

最近了解到目前，随着电子商务产业的快速发展，网上商城系统成本低，速度快等优势为众多企业带来了机遇，营销功能丰富，商品系统完善，用户体验良好。 那么php商城系统开源的主要特征是什么？

1，php开源商城系统更方便

PHP程序快速开发，运行速度快，技术本身可以快速学习。嵌入HTML：因为PHP可以嵌入HTML语言，所以它与其他语言相关。编辑简单，实用，然后满足企业发展需要的功能，或增加企业的新需求;

2，php开源商城系统适应性强

选择开源商城系统，公司可以访问源代码，可以根据自己的意愿修改开源商城系统，降低此类风险，因为在开源社区中会有不断的维护和更新流。因此，受到各行各业中小企业的欢迎和广泛使用，使开源商城软件的适应性更强;

3，php开源商城系统强大的跨平台

由于PHP是服务器端脚本，因此它可以在UNIX，LINUX，WINDOWS，iOS和Android等平台上运行;

4，php开源商城系统效率更高

效率是每个用户在选择商城系统时将考虑的问题。 PHP mall系统消耗相对较少的系统资源。

5，php开源商城系统更安全

安全是每个用户在选择电子商务系统时会考虑的第一个问题，因为开源商城系统的源代码是开放的并且没有得到很好的保护，用户将认为开源商城系统的安全性是不可靠的。然而，随着电子商务系统开发技术的成熟，对开源商城系统的研究也取得了很大进展。有特殊的人来解决电子商务系统的BUG等问题。因此，开源商城系统的安全性能不断提高。

3、如何判断PHP源码是否存在SQL注入漏洞？

判断是否存在SQL注入首先找到可能的注入点；比如常见的get，post，甚至cookie，传递参数到PHP，然后参数被拼接到SQL中，如果后端接收参数后没有进行验证过滤，就很可能会出现注入。比如xxx.com?id=321，id就很可能是注入点。

说白了就是不要相信用户输入，对用户可控的参数进行严格校验。注意是严格校验！简单的去空格，或者是特殊字符替换很容易绕过。

如果已经有原码，可以进行代码审计，进行逐一排查。也可以搭建本地环境使用类似于sqlmap这样的自动化工具进行可以链接的检测。

个人理解仅供参考，如有偏颇望批评指正！

4、有哪些的实用网站推荐？

63个精品网站，已经打包成文档，手机和电脑均可直接打开，效果如下：

每个类别选择1-2个介绍

一个有情怀的免费PPT模板网站，用户量大、模板质量高、更新快、资源多。汇报、商务、精美、简约、论文、述职、个人简历、开题报告等多种不同场合，满足各种需求。看到好的模板网站只需一键就能免费下载，且下载不限速，速度很快。此外网站提供PPT背景、图表、素材、教程、字体等，可谓是非常良心了。

电影爱好者的天堂。网站内部收藏了丰富的电影资源，2021年新品、必看热片、经典大片、华语电视剧、日韩剧、美剧、动漫、综艺等等，资源更新快，一直有人在维护。每个电影资源都会有影片介绍，包括年代、类别、简介、上映日期、截图等等，而且会提供多个在线播放和下载地址。

互联网上最值得信赖的指南网站。网站提供了各种类别的生活指南，健康类、人际关系、家庭生活、工作、金融商业、饮食悠闲、计算机于电子产品等，共计90000多篇学术研究文章和500多位专家共同创作的30000多篇文章。专业但不怕看不懂，网站已经用通俗的语言和图片的形式供读者阅读，通俗易懂。

强大的搜书网站。想看书，占不到资源怎么办？不怕，这个网站含大量的电子书，搜索你想要下载的书籍名称或作者名便可检索多个下载源，网站提供电子书txt格式，良心。

全称叫做remove background，移去图片背景，通俗来说就是抠图。不会PS的小伙伴要抓紧时间收藏了，只需将所需要抠的图片上传，后台会自动帮我们抠出图片主体。这里我测试了一张美女高清大图，头发丝都能抠出，这算法强大。去除背景的图片可直接下载保存到本地。

找不到图片素材？这个网站含众多精美图片，图片质量高，重要的是免费下载可商用。此网站是外国网站，但是加载速度非常快，下载也快。各种图片种类，壁纸类、自然类、任务类、建筑类等，点击上方导航栏就可以直接跳转到相应的类别，不用怕英语不好不知道搜什么。

Pdf文档处理网站，工具多。在这里你可以对PDF进行压缩、转换。支持word、PPT、JPG、Exel等相互转换。且支持PDF编辑，如分割、合并、加密、解密、删除页面、旋转等操作，功能还是非常强大的。

网站作者是个全能大神。免费提供各种技能的教程视频，系统、编程、平面设计、影视、动画、音频等，如PS、PR，教程可以免费观看和下载，资源丰富，很良心，想学技能的小伙伴不要错过。

一直分享一直爽。

5、学后台开发为什么要选择php？

1、开放的源代码： 所有的PHP源代码事实上都可以得到。 2、PHP是免费的。 和其它技术相比，PHP本身免费。 3、php的快捷性 程序开发快，运行快，技术本身学习快。嵌入于HTML：因为PHP可以被嵌入于HTML语言，它相对于其他语言，编辑简单，实用性强，更适合初学者。 4、跨平台性强： 由于PHP是运行在服务器端的脚本,可以运行在UNIX、LINUX、WINDOWS下。 5、效率高： PHP消耗相当少的系统资源。 6、图像处理： 用PHP动态创建图像 7、面向对象： 在php4,php5 中，面向对象方面都有了很大的改进，现在php完全可以用来开发大型商业程序。 8、专业专注： PHP支持脚本语言为主，同为类C语言。