Speziell für den Einsatz auf Source Code Ebene wurde das Java Tool Pixy entwickelt. Es durchsucht PHP Code nach möglichen XSS und SQL-Injection Schwachpunkten.
Da das Tool kostenlos verfügbar ist, spricht nichts dagegen, den eigenen PHP Quellcode damit zu checken, auch wenn man sich relativ sicher ist, dass man sauber programmiert hat.

Es ist natürlich zu erwarten, dass nicht nur der eigene Quellcode mit dem PHP Sicherheitstool gescannt wird – entsprechende Exploits für PHP Anwendungen werden nicht lange auf sich warten lassen.

Wer das PHP Audit Tool nur mal testen möchte, kann auch die Online Version von der Homepage nehmen.