Vimeo konpainia analizatzaile estatikoen bertsio berria , PHP kodean akats nabariak zein sotilak identifikatzeko aukera ematen duena, baita akats mota batzuk automatikoki zuzentzeko ere. Sistema egokia da arazoak identifikatzeko bai antzinako kodean bai PHPren adar berrietan sartutako ezaugarri modernoak erabiltzen dituen kodean. Proiektuaren kodea PHPn idatzita dago eta MIT lizentziapean.
Salmoak mota okerren erabilerarekin lotutako arazo gehienak identifikatzen ditu, baita hainbat ere . Adibidez, adierazpen batean mota ezberdinetako aldagaiak nahasteari buruzko abisuak onartzen ditu, proba logiko okerrak (adibidez, “if ($a && $a) {}”, “if ($a && !$a) {}” eta “ if ($a) {} elseif ($a) {}"), objektuaren propietateen hasieratze osatugabea. Analizagailua hari anitzeko moduan exekutatzen da. Azterketa inkrementalak egin daitezke, azken eskaneatzetik aldatu diren fitxategiak soilik aztertzen dituztenak.
Gainera, programazio tresna seguruak eskaintzen dira baimentzeko oharrak formatuan ("/** @var Mota */") aldagai motei, itzultzeko balioei, funtzio-parametroei eta objektuen propietateei buruzko informazioa emateko. Moten erabilera-ereduak definitzea eta assert adierazpenak erabiltzea ere onartzen da. Adibidez:
/** @var string|null */
$a = foo();
/** @var katea $a */
echo strpos($a, 'kaixo');
/** @salm-assert-if-true B $a */
funtzioa baliozkoa daB(A $a): bool {
itzuli $a B-ren instantzia && $a->Valid();
}
Aurkitutako arazoak ezabatzeko automatizatzeko, Psalter utilitatea eskaintzen da, pluginak eta konpondu ohiko kode-arazoak, gehitu motako oharrak eta egin manipulazioak, esate baterako, klaseak izen-espazio batetik bestera mugitzea, metodoak klaseen artean mugitzea eta klaseak eta metodoak izena aldatzea.
Salmoaren ale berrian "--taint-analysis" aukerak erabiltzailearengandik jasotako sarrera-parametroen (adibidez, $_GET['izena']) eta karaktereen ihesa behar duten lekuetan erabiltzearen (adibidez, oihartzuna, adibidez) arteko erlazioa jarraitzeko aukera ematen du. $izena "), tarteko esleipenen eta funtzio-deien jarraipen-kateen bidez barne. $_GET, $_POST eta $_COOKIE matrize elkartuen erabilera arriskutsuak izan daitezkeen datuen iturritzat hartzen dira, baina posible da ere iturri propioak. Jarraipenetik ihes egitea eskatzen duten ekintzen artean, HTML edukia sortzen duten irteera-eragiketak, HTTP goiburuak gehitzen dituzte edo SQL kontsultak exekutatzen dituzte.
Balioztatzea echo, exec, include eta goiburua bezalako funtzioak erabiltzean erabiltzen da. Ihes egiteko beharra aztertzerakoan, testua, SQL, HTML eta Shell kodea duten kateak, autentifikazio-parametroak dituzten kateak bezalako datu motak hartzen dira kontuan. Proposatutako moduak aukera ematen du guneen arteko script-a (XSS) edo SQL ordezkapena eragiten duten kodean ahultasunak identifikatzea.
Gainera, nabarmendu daiteke PHP 8.0 adar berriaren alfa probak. Azaroaren 26rako aurreikusita dago kaleratzea. Adar berrian honako hauek espero dira: Gisa:
- , eta horren erabilerak produktibitatea hobetuko du.
- Lagundu , bi motatako edo gehiagoko bildumak definituz (adibidez, “funtzio publikoa foo(Foo|Bar $sarrera): int|float;”).
- Lagundu Docblock sintaxia erabili gabe klaseetara metadatuak (adibidez, motaren informazioa) lotzea ahalbidetzen duten (oharpenak).
- klaseen definizioak, eraikitzaile baten definizioa eta propietateak konbinatzeko aukera emanez.
- Itzulketa mota berria - .
- Mota berria - , funtzio batek mota ezberdinetako parametroak onartzen dituen zehazteko erabil daitekeena.
- adierazpen salbuespenak kudeatzeko.
- zabor bilketan sakrifikatu daitezkeen objektuak sortzeko (adibidez, beharrezkoak ez diren cacheak gordetzeko).
- Objektuetarako “::class” esamoldea erabiliz (get_class() deitzearen antzekoa).
- aldagaiei lotuta ez dauden salbuespenen catch blokeko definizioak.
- funtzio-parametroen zerrendako azken elementuaren ondoren koma utziz.
- Interfaze berria kate batean bihur daitezkeen edozein kate mota edo datu identifikatzeko (horretarako __toString() metodoa eskuragarri dago).
- Ezaugarri berria , azpikate baten agerraldia zehazteko strpos-en analogo sinplifikatua, baita str_starts_with() eta str_ends_with() funtzioak ere, kate baten hasieran eta amaieran bat datozenak egiaztatzeko.
- Ezaugarri gehitua , zatiketa eragiketa bat egiten duena zeroz zatitzean errorerik bota gabe.
- kateak elkartzeko logika. Adibidez, 'echo "sum:" esamoldea. $a + $b' 'oihartzuna' gisa interpretatu zen lehenago ("sum: " . $a) + $b', eta PHP 8-n 'echo "sum: " gisa tratatuko da. ($a + $b)'.
- eragiketa aritmetikoak eta bitartekoak egiaztatzeak, adibidez, "[] % [42]" eta "$objektua + 4" esamoldeek errore bat eragingo dute.
- ordenatzeko algoritmo egonkorra, zeinetan balio berdinen ordena exekuzio ezberdinetan gordetzen den.
Iturria: opennet.ru