[Owasp-brazilian] PHP_CodeSniffer

Wagner Elias wagner.elias at gmail.com
Tue Jul 8 05:26:46 EDT 2008


Fala Rodrigo!

pelo conteúdo das perguntas acho que você está achando que é uma
verificação estilo IDS, comparando assinaturas. Correto?

A ferramenta não analisa em tempo de execução e sim na hora que você
está desenvolvendo. É função semelhante ao Visual Studio da Microsoft,
que você pode configurar ele para alertar no momento da compilação
caso você esteja usando funções "perigosas".

Neste caso não existe overhead nenhum para o usuário, porque a
verificação é feita apenas no ambiente de desenvolvimento pelo
programador. Um tipo de validação. As políticas ficam no ambiente de
desenvolvimento, junto com o PHP_CodeSniffer.

Esta página mostra como usar a ferramenta:
http://pear.php.net/manual/en/package.php.php-codesniffer.usage.php

Quem deseja usar um IDS para php recomendo o PHPIDS
(http://php-ids.org/) ou usar o mod_security do apache.

Abs.
-- 
Wagner Elias
http://wagnerelias.com

2008/7/7 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
> Wagner,
>    Eu não sou programador, mas isso dependendo da quantidade de politicas
> poderia causar muito overhead no codigo ? Outra, onde ficaria essas
> politicas, no proprio servidor?
>
>
> []z! Rodrigo Montoro(Sp0oKeR)
>
> On Mon, Jul 7, 2008 at 6:37 PM, Wagner Elias <wagner.elias at gmail.com> wrote:
>>
>> O que acham desta ferramenta?
>> http://pear.php.net/package/PHP_CodeSniffer
>>
>> Eu escrevi um pequeno post sobre ela:
>> http://wagnerelias.com/2008/07/07/php-and-javascript-code-sniffer/
>>
>>
>> --
>> Att.
>> Wagner Elias
>> http://wagnerelias.com
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
>
> --
> ===========================
> Rodrigo Montoro (Sp0oKeR)
> Security Analyst
> SnortCP / RHCE / LPIC-I / MCSO
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> ===========================


More information about the Owasp-brazilian mailing list