Warum kann es False Positives geben?

PHP ist dynamisch und statische Analysen arbeiten mit Heuristiken. Ergebnisse sollten im Review verifiziert und bei Bedarf per Suppressions ausgeblendet werden.

Wie integriere ich Phoenix in meinen Workflow?

Nutze Phoenix vor Releases oder in Review-Phasen. Exportiere Reports als HTML/JSON und kombiniere Findings mit manueller Verifikation.

Welche Schwachstellen werden erkannt?

Best-effort Erkennung typischer Klassen wie XSS, SQL Injection, LFI/RFI, SSRF, XXE, Deserialization sowie weitere HTTP/OS/DB-bezogene Risiken.

Phoenix PHP Security Scanner

Features

Modernes UI, präziser Workflow – entwickelt für schnelle Code-Reviews.

Precision-first

Scope‑Erkennung

Findings werden Funktions-/Methoden‑Scopes zugeordnet – keine Vermischung über Scopes hinweg.

Namespace Class Method

Severity & Highlights

Editor markiert Findings farblich, inklusive Zeilennummern und Range‑Hervorhebung.

Critical High Medium Low

Filter & Suche

Schnell filtern nach Typ, Severity, Datei und Freitext – ideal für große Projekte.

Reports

Export als JSON/HTML – ideal für Audit-Dokumentation oder Team‑Review.

JSON Export
HTML Report

Suppressions

False Positives per Rechtsklick unterdrücken – dauerhaft in Projekt‑Konfig gespeichert.

Framework‑Profile

Profile reduzieren typische False Positives (Request‑Getter, bekannte Sanitizer, Helper‑Funktionen).

Generic WordPress Laravel Symfony CodeIgniter

Workflow

Schnell zum Ergebnis: Projekt wählen, scannen, Findings prüfen, reporten. Alles im Kontext – mit Scope‑Navigation und Editor‑Highlights.

1

Projektordner auswählen

Rekursiv scannt Phoenix PHP-Dateien und baut eine Scope-Map auf.

2

Scan starten

Kandidaten werden pro Scope analysiert; bekannte Sanitizer werden berücksichtigt.

3

Findings im Editor verifizieren

Farbige Markierung, Zeilennummern, Scope‑Highlight und Trace‑Sprünge.

4

Report exportieren

JSON/HTML Export für Audit & Team‑Review.

UI Vorschau

Modern

XSS SQLi SSRF LFI/RFI Deserialization

Kostenlos herunterladen

Phoenix ist ein statischer PHP-Scanner. Ergebnisse sind Hinweise und sollten im Review validiert werden. In dynamischen PHP-Flows sind False Positives möglich.

Hinweis zu False Positives

Phoenix arbeitet “precision-first” und kennt viele Sanitizer/Framework-Patterns. Trotzdem können Meldungen in bestimmten Projekten unkritisch sein. Nutze Suppressions für geprüfte Fälle.

FAQ lesen

Tipp: Scanne vor dem Deployment und prüfe Findings im Pull‑Request Review.

Download-Paket

Free

Enthält komplettes Programm als portable .zip

FAQ

Kurz & konkret – die häufigsten Fragen.

Support

PHP ist dynamisch (z.B. variable Includes, Magic Methods, Framework-Resolver). Statische Analyse arbeitet mit Heuristiken. Phoenix priorisiert Klarheit und prüfbare Hinweise. Nutze Suppressions für verifizierte Meldungen.

Nutze Phoenix vor Releases oder in Review‑Phasen. Exportiere Reports als HTML/JSON für Team‑Abnahmen. Kombiniere Findings mit manueller Verifikation.

XSS Output
SQL Injection DB
LFI/RFI Include
SSRF HTTP

Command Injection OS
XXE XML
Deserialization Objects
Open Redirect / Header Issues HTTP

Liste ist “best-effort” und hängt von Projekt‑Patterns ab. Fokus: nützliche, prüfbare Hinweise.

Kontakt

Feedback hilft, die Erkennung zu verbessern – besonders Beispiele für False Positives/Negatives.

Quick Links

Download Features FAQ

Legal / Hinweis

Phoenix liefert Hinweise auf potenzielle Sicherheitsprobleme. Die Verantwortung für Review, Fixes und Deployment liegt beim Nutzer.