我们最近开始使用Snyk进行代码分析,但遇到了一个障碍,即第一次扫描报告了许多(>700(XSS漏洞,尽管有代码可以清除和处理这些漏洞。
Snyk似乎无法考虑到我们正在用一种不同的方法进行消毒,这种方法包含在一个单独的文件中,例如:
$mySuperAwesomeVar = Sanitise($_GET["NaughtyUser"]);
查看检测的数据流,我们可以看到它的来源是前面提到的行,但它没有进入Sanitise方法。
有什么想法吗?
Snyk建议这是产品的限制,并建议使用Twig等模板语言。
不幸的是,在某些情况下,当数据流在多个文件上分离时,无法识别适当的数据流。这里可能就是这样。我们对PHP(以及我们支持的所有语言(的支持正在不断发展,我们正在努力改进这一点。[…]
这可能不是一个可行的解决方案,但使用Twig等PHP模板引擎可能会有所帮助(降低FP率,确保一致的转义和布局等(,而不是以这种方式使用echo来渲染动态内容。