PHP 언어용 정적 분석기인 시편 3.12가 출시되었습니다. PHP 8.0의 알파 릴리스

비메오 회사 опубликовала 정적 분석기의 새로운 릴리스 시 3.12를 사용하면 PHP 코드의 명백하고 미묘한 오류를 식별할 수 있을 뿐만 아니라 일부 유형의 오류를 자동으로 수정할 수 있습니다. 이 시스템은 레거시 코드와 PHP의 새로운 분기에 도입된 최신 기능을 사용하는 코드 모두에서 문제를 식별하는 데 적합합니다. 프로젝트 코드는 PHP로 작성되었으며 배포자 MIT 라이센스에 따라.

시편은 잘못된 유형 사용과 관련된 대부분의 문제뿐만 아니라 다양한 문제를 식별합니다. 전형적인 실수. 예를 들어, 표현식에서 서로 다른 유형의 변수 혼합, 잘못된 논리 테스트(예: "if ($a && $a) {}", "if ($a && !$a) {}" 및 " if ( $a) {} elseif ($a) {}"), 객체 속성의 초기화가 불완전합니다. 분석기는 다중 스레드 모드에서 실행됩니다. 마지막 검사 이후 변경된 파일만 분석하는 증분 검사를 수행할 수 있습니다.

또한 보안 프로그래밍 도구가 제공되어 사용 형식의 주석 문서블록 ("/** @var Type */")을 사용하여 변수 유형, 반환 값, 함수 매개변수, 개체 속성에 대한 정보를 제공합니다. 유형 사용 패턴 정의 및 Assert 문 사용도 지원됩니다. 예를 들어:

/** @var 문자열|널 */
$a = foo();

/** @var 문자열 $a */
echo strpos($a, '안녕하세요');

/** @psalm-assert-if-true B $a */
함수 isValidB(A $a) : bool {
B && $a->isValid()의 $a 인스턴스를 반환합니다.
}

발견된 문제를 자동으로 제거하기 위해 플러그인을 지원하는 Psalter 유틸리티가 제공됩니다. 그것은 수 있습니다 일반적인 코드 문제를 해결하고, 유형 주석을 추가하고, 클래스를 한 네임스페이스에서 다른 네임스페이스로 이동하고, 클래스 간 메서드를 이동하고, 클래스와 메서드 이름을 바꾸는 등의 조작을 수행합니다.

시편의 새로운 호에서 구현 "--taint-analytic" 옵션을 사용하면 사용자로부터 받은 입력 매개변수(예: $_GET['name'])와 문자 이스케이프가 필요한 위치(예: echo ")에서의 사용 사이의 관계를 추적할 수 있습니다. $name ")(중간 할당 및 함수 호출의 추적 체인 포함) $_GET, $_POST 및 $_COOKIE 연관 배열의 사용은 잠재적으로 위험한 데이터 소스로 간주되지만 그럴 수도 있습니다. 결정 자신의 소스. 이스케이프 추적이 필요한 작업에는 HTML 콘텐츠를 생성하거나, HTTP 헤더를 추가하거나, SQL 쿼리를 실행하는 출력 작업이 포함됩니다.

검증은 echo, exec, include, header 등의 기능을 사용할 때 사용됩니다. 이스케이프 필요성을 분석할 때 텍스트, SQL, HTML 및 셸 코드가 포함된 문자열, 인증 매개변수가 포함된 문자열과 같은 데이터 유형이 고려됩니다. 제안된 모드를 사용하면 XSS(교차 사이트 스크립팅) 또는 SQL 대체로 이어지는 코드의 취약성을 식별할 수 있습니다.

추가적으로 주목할 수 있는 것은 출발 새로운 PHP 8.0 브랜치의 알파 테스트. 발매는 26월 XNUMX일로 예정되어 있습니다. 새 분기에서는 다음이 예상됩니다. 혁신으로 :

• 전원 켜기 JIT 컴파일러, 이를 사용하면 생산성이 향상됩니다.
• 지원 노동조합 종류, 두 개 이상의 유형 컬렉션을 정의합니다(예: "public function foo(Foo|Bar $input): int|float;").
• 지원 속성 Docblock 구문을 사용하지 않고도 메타데이터(예: 유형 정보)를 클래스에 바인딩할 수 있는 (주석)
• 단축된 구문 클래스 정의를 사용하면 생성자 정의와 속성을 결합할 수 있습니다.
• 새로운 반환 유형 - 정적 인.
• 새로운 유형 - 혼합 된, 이는 함수가 다른 유형의 매개변수를 허용하는지 여부를 결정하는 데 사용할 수 있습니다.
• 표현 던져 예외를 처리합니다.
• 위크맵 가비지 수집 중에 희생될 수 있는 객체를 생성합니다(예: 불필요한 캐시 저장).
• 기회 객체에 대해 "::class" 표현식을 사용합니다(get_class() 호출과 유사).
• 기회 변수에 바인딩되지 않은 예외의 catch 블록에 정의가 있습니다.
• 기회 함수 매개변수 목록의 마지막 요소 뒤에 쉼표를 남깁니다.
• 새로운 인터페이스 스트링 가능 문자열로 변환될 수 있는 문자열 유형이나 데이터를 식별합니다(이 경우 __toString() 메서드를 사용할 수 있음).
• 새로운 기능 str_contains(), 부분 문자열의 발생을 결정하기 위한 strpos의 단순화된 유사체, 문자열의 시작과 끝에서 일치 항목을 확인하기 위한 str_starts_with() 및 str_ends_with() 함수.
• 추가된 기능 fdiv(), XNUMX으로 나눌 때 오류가 발생하지 않고 나누기 연산을 수행합니다.
• 변경됨 문자열 결합 논리. 예를 들어 'echo "sum:" 표현식입니다. $a + $b'는 이전에는 'echo ("sum: " . $a) + $b'로 해석되었지만 PHP 8에서는 'echo "sum: " 으로 처리됩니다. ($a + $b)'.
• 조여짐 예를 들어 산술 및 비트 연산을 확인하면 "[] % [42]" 및 "$object + 4" 표현식을 사용하면 오류가 발생합니다.
• 구현 여러 실행에서 동일한 값의 순서가 유지되는 안정적인 정렬 알고리즘입니다.

출처 : opennet.ru