[Owasp-brazilian] PHP_CodeSniffer

Wagner Elias wagner.elias at gmail.com
Tue Jul 8 09:28:33 EDT 2008


Exatamente Myke.

A ferramenta não implementa nada específico para segurança, mas como
eu escrevi no post, garantindo alguns padrões de escrita de código é
possível evitar muitos problemas.

Abs.

2008/7/8 Myke <mykesh at gmail.com>:
> Eu dei uma olhada na ferramenta e não tem muita coisa de segurança.
> A ferramenta tá bem no começo, é beta, o que explica a ausência de
> funcionalidadades de segurança.
> A maioria das funcionalidades é para evitar que a aplicação sofra com
> bugs de funcionalidade e coisas do tipo, é claro que padrões/políticas
> de codificação evitam issues de (in)segurança.
>
> Os caras tem mérito pq afinal de contas é uma implementação
> interessante, não é uma mera análise estática.
>
> sds
>
> Myke
>
>
>
> 2008/7/8 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
>> Hmmm....tava pensando que era algo on the fly =)!!!
>>
>> Valeu das explicações ehehehe!
>>
>>
>> []zz!
>>
>> 2008/7/8 Wagner Elias <wagner.elias at gmail.com>:
>>>
>>> Fala Rodrigo!
>>>
>>> pelo conteúdo das perguntas acho que você está achando que é uma
>>> verificação estilo IDS, comparando assinaturas. Correto?
>>>
>>> A ferramenta não analisa em tempo de execução e sim na hora que você
>>> está desenvolvendo. É função semelhante ao Visual Studio da Microsoft,
>>> que você pode configurar ele para alertar no momento da compilação
>>> caso você esteja usando funções "perigosas".
>>>
>>> Neste caso não existe overhead nenhum para o usuário, porque a
>>> verificação é feita apenas no ambiente de desenvolvimento pelo
>>> programador. Um tipo de validação. As políticas ficam no ambiente de
>>> desenvolvimento, junto com o PHP_CodeSniffer.
>>>
>>> Esta página mostra como usar a ferramenta:
>>> http://pear.php.net/manual/en/package.php.php-codesniffer.usage.php
>>>
>>> Quem deseja usar um IDS para php recomendo o PHPIDS
>>> (http://php-ids.org/) ou usar o mod_security do apache.
>>>
>>> Abs.
>>> --
>>> Wagner Elias
>>> http://wagnerelias.com
>>>
>>> 2008/7/7 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>:
>>> > Wagner,
>>> >    Eu não sou programador, mas isso dependendo da quantidade de
>>> > politicas
>>> > poderia causar muito overhead no codigo ? Outra, onde ficaria essas
>>> > politicas, no proprio servidor?
>>> >
>>> >
>>> > []z! Rodrigo Montoro(Sp0oKeR)
>>> >
>>> > On Mon, Jul 7, 2008 at 6:37 PM, Wagner Elias <wagner.elias at gmail.com>
>>> > wrote:
>>> >>
>>> >> O que acham desta ferramenta?
>>> >> http://pear.php.net/package/PHP_CodeSniffer
>>> >>
>>> >> Eu escrevi um pequeno post sobre ela:
>>> >> http://wagnerelias.com/2008/07/07/php-and-javascript-code-sniffer/
>>> >>
>>> >>
>>> >> --
>>> >> Att.
>>> >> Wagner Elias
>>> >> http://wagnerelias.com
>>> >> _______________________________________________
>>> >> Owasp-brazilian mailing list
>>> >> Owasp-brazilian at lists.owasp.org
>>> >> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>> >
>>> >
>>> >
>>> > --
>>> > ===========================
>>> > Rodrigo Montoro (Sp0oKeR)
>>> > Security Analyst
>>> > SnortCP / RHCE / LPIC-I / MCSO
>>> > http://www.spooker.com.br
>>> > http://www.snort.org.br
>>> > http://www.linkedin.com/in/spooker
>>> > ===========================
>>
>>
>>
>> --
>> ===========================
>> Rodrigo Montoro (Sp0oKeR)
>> Security Analyst
>> SnortCP / RHCE / LPIC-I / MCSO
>> http://www.spooker.com.br
>> http://www.snort.org.br
>> http://www.linkedin.com/in/spooker
>> ===========================
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>



-- 
Att.
Wagner Elias
http://wagnerelias.com


More information about the Owasp-brazilian mailing list