Uzņēmums Vimeo jauns statiskā analizatora izlaidums , kas ļauj identificēt gan acīmredzamas, gan smalkas kļūdas PHP kodā, kā arī automātiski labot dažu veidu kļūdas. Sistēma ir piemērota problēmu identificēšanai gan mantotajā kodā, gan kodā, kas izmanto mūsdienīgas funkcijas, kas ieviestas jaunajās PHP atzaros. Projekta kods ir uzrakstīts PHP un saskaņā ar MIT licenci.
Psalms identificē lielāko daļu problēmu, kas saistītas ar nepareizu veidu lietošanu, kā arī dažādas . Piemēram, tas atbalsta brīdinājumus par dažādu veidu mainīgo sajaukšanu izteiksmē, nepareizas loģiskās pārbaudes (piemēram, “if ($a && $a) {}”, “if ($a && !$a) {}” un “ if ( $a) {} elseif ($a) {}"), nepilnīga objekta īpašību inicializācija. Analizators darbojas vairāku vītņu režīmā. Ir iespējams veikt pakāpenisku skenēšanu, kas analizē tikai failus, kas ir mainījušies kopš pēdējās skenēšanas.
Turklāt tiek nodrošināti droši programmēšanas rīki anotācijas formātā (“/** @var Type */”), lai sniegtu informāciju par mainīgo veidiem, atgriešanas vērtībām, funkciju parametriem, objekta īpašībām. Tiek atbalstīta arī tipu lietošanas modeļu noteikšana un apgalvojumu izmantošana. Piemēram:
/** @var string|null */
$a = foo();
/** @var virkne $a */
echo strpos($a, 'sveicināti');
/** @psalm-assert-if-true B $a */
funkcija irValidB(A $a) : bool {
atgriezt $a instanceof B && $a->isValid();
}
Lai automatizētu atrasto problēmu novēršanu, tiek nodrošināta utilīta Psalter, kas atbalsta spraudņus un novērst izplatītas koda problēmas, pievienot tipa anotācijas un veikt tādas manipulācijas kā klases pārvietošana no vienas nosaukumvietas uz citu, metožu pārvietošana starp klasēm un klašu un metožu pārdēvēšana.
Jaunajā Psalma numurā opcija "--taint-analysis" ļauj izsekot saistību starp ievades parametriem, kas saņemti no lietotāja (piemēram, $_GET['name']) un to izmantošanu vietās, kur nepieciešama rakstzīmju atkāpšanās (piemēram, echo " $name "), tostarp izmantojot starpposma uzdevumu un funkciju izsaukumu izsekošanas ķēdes. Asociatīvo masīvu $_GET, $_POST un $_COOKIE izmantošana tiek uzskatīta par potenciāli bīstamu datu avotiem, taču tas ir arī iespējams pašu avoti. Darbības, kurām nepieciešama izsekošana, ietver izvades darbības, kas ģenerē HTML saturu, pievieno HTTP galvenes vai izpilda SQL vaicājumus.
Validācija tiek izmantota, izmantojot tādas funkcijas kā echo, exec, include un header. Analizējot aizbēgšanas nepieciešamību, tiek ņemti vērā tādi datu tipi kā teksts, virknes ar SQL, HTML un Shell kodu, virknes ar autentifikācijas parametriem. Piedāvātais režīms ļauj identificēt koda ievainojamības, kas noved pie starpvietņu skriptēšanas (XSS) vai SQL aizstāšanas.
Turklāt var atzīmēt jaunā PHP 8.0 filiāles alfa testēšana. Izlaidums ir paredzēts 26. novembrī. Jaunajā filiālē sagaidāms: Tā kā:
- , kuru izmantošana uzlabos produktivitāti.
- atbalsts , definējot divu vai vairāku veidu kolekcijas (piemēram, “publiskā funkcija foo(Foo|Bar $input): int|float;”).
- atbalsts (anotācijas), kas ļauj saistīt metadatus (piemēram, tipa informāciju) klasēm, neizmantojot Docblock sintaksi.
- klašu definīcijas, ļaujot apvienot konstruktora definīciju un īpašības.
- Jauns atgriešanas veids - .
- Jauns tips - , ko var izmantot, lai noteiktu, vai funkcija pieņem dažāda veida parametrus.
- Izteiksme rīkoties ar izņēmumiem.
- lai izveidotu objektus, kurus var upurēt atkritumu savākšanas laikā (piemēram, lai uzglabātu nevajadzīgas kešatmiņas).
- izmantojot izteiksmi “::class” objektiem (analogs get_class() izsaukšanai).
- definīcijas izņēmumu nozvejas blokā, kas nav saistīti ar mainīgajiem.
- aiz pēdējā elementa funkcijas parametru sarakstā atstājot komatu.
- Jauns interfeiss lai identificētu visus virkņu veidus vai datus, ko var pārvērst virknē (kurai ir pieejama metode __toString()).
- Jauna funkcija , vienkāršots strpos analogs apakšvirknes rašanās noteikšanai, kā arī funkcijas str_starts_with() un str_ends_with(), lai pārbaudītu atbilstību virknes sākumā un beigās.
- Pievienota funkcija , kas veic dalīšanas darbību, neizmetot kļūdu dalot ar nulli.
- virkņu savienošanas loģika. Piemēram, izteiciens 'echo "sum:" . $a + $b' iepriekš tika interpretēts kā 'echo ("sum: " . $a) + $b', un PHP 8 tiks uzskatīts par "echo "sum: " . ($a + $b)”.
- pārbaudot aritmētiskās un bitu darbības, piemēram, izteicieni "[] % [42]" un "$object + 4" radīs kļūdu.
- stabils šķirošanas algoritms, kurā identisku vērtību secība tiek saglabāta dažādos palaijumos.
Avots: opennet.ru