我建议看看以下链接：

• PHP 安全审计 HOWTO
• Spike PHP 安全审计工具
• Zend 应用程序安全审计
• 6 个免费的 PHP 安全和审计工具

您应该从任何交互式 Web 代理开始，例如 burp 代理、paros 等。
我自己，我偏爱Fiddler。无论您选择哪种工具，这都可以让您检查所有请求/响应流，并在 JavaScript 后与请求进行交互。开始的好地方。

最终，我想OWASP 的代码爬虫也将支持 PHP ......虽然现在我不熟悉任何免费的自动化工具。现在只是手动眼球...
当然您可以选择大型供应商之一，例如 Fortify、Ounce Labs 等 - 但那非常昂贵，而且还有另一罐蠕虫...

看看 Google 的 Skipfish：http ://code.google.com/p/skipfish/wiki/SkipfishDoc

有很多工具，对于渗透测试的用途，这确实是个人喜好。因此，请尝试我和其他人提到的所有方法，并选择最适合您的方法。

对于安全代码审查（白盒测试），我建议使用RIPS。这是我试过的最好的。

为了进行一些黑盒测试，您当然需要一些拦截代理。其中有很多，但如果你在 Windows 上，我建议你看看Fiddler。Burp / WebScarab / Zed Attack Proxy也很棒。如果您想自动化一些注入测试，请从fuzzdb 中获取一些常见的有效载荷。

此外，让自己熟悉 Firebug 和 Chrome 开发者工具等浏览器插件，它们会很有帮助。

最后，尝试使用Open Penetration Testing Bookmarks Collection中的书签。这是一个巨大的列表（只是为了让您知道有多少工具），但里面有很多宝石。