工具下载：http://sourceforge.net/projects/rips-scanner/files/

**工具简介：RIPS是一个源代码分析工具，它使用了静态分析技术，能够自动化地挖掘PHP源代码潜在的安全漏洞。

渗透测试人员可以直接容易的审阅分析结果，而不用审阅整个程序代码。由于静态源代码分析的限制，漏洞是否真正存在，仍然需要代码审阅者确认。RIPS能够检测SQL注入、XSS、文件泄露、LFI/RFI、RCE漏洞等。**

工具使用：
1：把rips文件放入到Apache/Nginx的WEB工作路径下，如：D:XAMPPhtdocs（windows）或者/www/（linux）目录下

2:使用浏览器打开URL（建议使用谷歌浏览器，自带翻译功能），输入程序路径，更改相关选项（如下图）、 一定要勾选subdirs。

3:点击scan按钮，提示有XX个文件，点击Continue进行扫描。

4：查看扫描结果，重点修改高漏洞部分，并进行一一排查是否存在问题。