Pixy is a Java program that performs automatic scans of PHP source code, aimed at the detection of XSS and SQL injection vulnerabilities.

PHPコードのXSSやSQLインジェクション脆弱性をチェックする「Pixy」。



Javaで書かれたツールのようですが、Webインタフェースも用意されていて、サイト上でPHPコードの脆弱性がチェックできるようです。

例えば、次のようなコードを検証してみましょう。

<?php

＄x = ＄_GET['x'];

echo ＄x;
?>

すると、次のように、脆弱な部分が赤く表示されました。



なお、いくつか脆弱なコードを試してみましたが、問題なし、となるコードもありました。
ツールを通過したからといって安全なコードであるという保障はないようですので、あくまで補助的なツールとして使うのがよさそうです。