In questo articolo conclusivo relativo alla sicurezza del linguaggio PHP elencherò alcuni dei più importanti metodi crittografici mesi a disposizione dal linguaggio ed alcuni dei migliori tool di analisi di sicurezza per applicazioni PHP

Per quanto riguarda gli strumenti crittografici messi a disposizione da PHP ci sono:

• md5() → restituisce un numero esadecimale di 32 caratteri data una stringa
• md5_file() → fa la stessa cosa del comando precedente con un file in input
• sha1() → genera l’hash sha1 di una stringa restituendo un numero esadecimale di 40 caratteri
• sha1_file() → fa la stessa cosa del comando precedente con un file in input
• crypt() → calcola l’hash di una stringa sfruttando algoritmi differenti in base al sistema operativo ospitante

Per utilizzare le funzioni di cifratura vere e proprie si deve utilizzare il modulo mcrypt, che supporta molti degli algoritmi di cifratura:

• DES
• TripleDES
• BLOWFISH
• AES
• etc…

Le funzioni da utilizzare in questo caso sono mcrypt_encrypt() e mcrypt_decript().

Non entro nel merito di come utilizzare tali funzioni, per maggiori informazioni è possibile consultare il sito ufficiale PHP alla pagina http://www.php.net/manual/en/function.mcrypt-module-open.php dove c’è n esempio di utilizzo della funzione in questione.

In questo ultimo articolo relativo alla sicurezza del programma PHP presento un elenco di strumenti atti al controllo e alla valutazione della sicurezza di una applicazione. Ecco l’elenco:

• PHP Security Scanner → http://sourceforge.net/projects/securityscanner/ , esegue la scansione di file/directory. E’ composto da due moduli, uno script php ed un db Mysql all’interno del quale sono presenti i pattern noti per analizzare il codice.
• Pixy → http://pixybox.seclab.tuwien.ac.at/pixy scritto in Java analizza codice PHP per verificare possibili vulnerabilità di tipo SQLInjection e XSS
• PHP-sat → http://www.program-transformation.org/PHP/ , analizza il codice in base ad un insieme di pattern
• PHP-front → http://strategoxt.org/PHP/PhpFront , analisi statica del codice
• PHP-tools → http://strategoxt.org/PHP/PhpTools , simile a quello precedente
• PHP String Analyzer → http://www.score.is.tsukuba.ac.jp/~minamide/phpsa/, simile ai due precedenti
• Suhosin → http://www.hardened-php.net/suhosin/index.html ,strumento di hardening (messa in sicurezza) di applicazioni PHP