O objetivo do phpSecInfo é fornecer um equivalente a função phpinfo () com os relatórios de informações de segurança sobre o ambiente PHP. Além disso, oferece sugestões de melhoria para determinadas diretivas de configuração. Ele é apenas uma ferramenta de informação e não gera qualquer tipo de código ou aplicação de auditoria.

Cross-site scripting (XSS) e injeção de SQL são vulnerabilidades que estão presentes em muitas aplicações web. O Pixy é um programa Java que realiza varreduras automáticas do código PHP visando a detecção de XSS e vulnerabilidades de injeção SQL. Pixy cria um relatório que lista os possíveis pontos vulneráveis no programa, juntamente com informações adicionais para a compreensão da vulnerabilidade.

Spike é uma ferramenta de auditoria de segurança PHP open source que executa uma análise do código PHP para exploits de segurança comum. Depois de carregar e executar o arquivo, o Spike gera um relatório de análise de código fonte em HTML sobre erros, alertas ou falhas de segurança possível.

Suhosin é um sistema avançado de proteção para instalações PHP. Ele foi projetado para proteger servidores e usuários das falhas conhecidas e desconhecidas em aplicações PHP. Suhosin funciona em duas partes independentes, que podem ser utilizadas separadamente ou em combinação. A primeira parte implementa proteções de baixo nível contra bufferoverflows ou vulnerabilidades em forma de string. A segunda parte é mais robusta e implementa todas as demais proteções.

O HPIDS (PHP-Intrusion Detection System)  reconhece quando um invasor tenta modificar o código do seu site e reage exatamente da maneira que você desejar. O Sistema é baseado em um conjunto de  regras de filtragem.

ModSecurity é um firewall que fornece proteção contra uma série de ataques contra aplicações web e permite a monitorização do tráfego HTTP, registro e análise em tempo real. É também um projeto open source que visa tornar a tecnologia de firewall de aplicação web disponível para todos.