Un article concernant l'installation de PHP_CodeSniffer sous Windows est également disponible .
PHP Code Sniffer est un outil qui permet d'analyser le code source PHP d'une application pour détecter des mauvaises pratiques de développement en se basant sur un ensemble de règles. Ces règles concernent principalement la qualité du code, mais il est également possible d'en ajouter pour détecter des failles de sécurité.
Installation
La première étape est d'installer l'outil grâce au gestionnaire de paquets apt :
$ sudo apt-get install php-codesniffer
Lecture des listes de paquets... Fait
Dépaquetage de php-codesniffer (3.6.2-1)
L'exécutable est présent dans le répertoire /usr/bin/ :
$ which phpcs
/usr/bin/phpcs
et les règles sont dans le dossier /usr/share/php/PHP/CodeSniffer/src/ :
3. Dans Visual Studio Code, installer l'extension phpcs :
4. Configurer l'extension de la façon suivante (éditer le fichier settings.json pour plus de facilité) :
L'extension est maintenant bien configurée et fonctionnelle. Par exemple, ici la détection de l'utilisation de shell_exec() dans l'application bWAPP menant à une injection de commande :
Références
2. Récupérer le jeu de règles (ruleset) orienté sécurité présent dans le dossier "Security" sur le dépôt Github suivant : et le déposer dans le dossier /src/ :
