PHP中XSS的Snyk假阳性

Question

我们最近已经开始使用Snyk来执行代码分析，但是第一次扫描报告了许多(>700) XSS漏洞，尽管已经有了清理和处理这些漏洞的代码，但是我们遇到了一个绊脚石。

看起来Snyk无法考虑到我们是在一个单独的文件中包含的另一种方法执行消毒操作，例如：

$mySuperAwesomeVar = Sanitise($_GET["NaughtyUser"]);

观察检测的数据流，我们可以看到它的来源是被定义的线，但是它没有进入那个净化方法。

有什么想法吗？

Answer 1

Snyk建议，这是该产品的一个限制，并建议使用像Twig这样的模板语言。

不幸的是，在某些情况下，当

在多个文件中被分离时，不可能识别适当的数据流。这里可能就是这样。我们对PHP (以及我们所支持的所有语言)的支持是不断演变的，我们正在努力改进这一点。..。这可能不是一个可行的解决方案，但使用像Twig这样的PHP模板引擎可能会有所帮助(降低FP速率、确保一致的转义和布局等)，而不是以这种方式使用echo来呈现动态内容。