🥇Выпуск Psalm 3.12, статического анализатора для языка PHP. Альфа выпуск PHP 8.0

Компания Vimeo lomia новый выпуск статического анализатора Salamo 3.12, позволяющего выявлять как очевидные, так и трудноуловимые ошибки в коде на языке PHP, а также автоматически исправлять некоторые виды ошибок. Система подходит для выявления проблем как в устаревшем коде, так и в коде, использующем современные возможности, появившиеся в новых ветках PHP. Код проекта написан на языке PHP и tufatufaina e i lalo ole laisene MIT.

Psalm определяет большую часть проблем, связанных с некорректным использованием типов, а также разнообразные типичные ошибки. Например, поддерживается вывод предупреждений о смешивании в выражении переменных с разными типами, некорректных логических проверках (таких как «if ($a && $a) {}», «if ($a && !$a) {}» и «if ($a) {} elseif ($a) {}»), неполной инициализации свойств объекта. Анализатор выполняется в многопоточном режиме. Возможно выполнение инкрементальных проверок, при которых анализируются только файлы, изменившиеся с момента прошлой проверки.

Дополнительно предоставляются средства безопасного программирования, позволяющие faʻaaoga аннотации в формате Docblock («/** @var Type */») для предоставления информации о типах переменных, возвращаемых значениях, параметрах функций, свойствах объектов. Также поддерживается определение шаблонов использования типов и применение выражений assert. Например:

/** @var string|null */
$a = foo();

/** @var string $a */
echo strpos($a, ‘hello’);

/** @psalm-assert-if-true B $a */
function isValidB(A $a) : bool {
return $a instanceof B && $a->isValid();
}

Для автоматизации устранения найденных проблем предоставляется утилита Psalter, которая поддерживает плагины и e mafai ai устранять типовые проблемы в коде, добавлять аннотации о типах, а также выполнять такие манипуляции, как перемещение классов из одного пространства имён в другое, перемещение методов между классами, переименовывание классов и методов.

В новом выпуске Psalm faatinoina опция «—taint-analysis», позволяющая проследить связь между полученными от пользователя входными параметрами (например, $_GET[‘name’]) и их использованием в местах, требующих экранирования символов (например, echo «<h1>$name</h1>»), в том числе через отслеживание цепочек промежуточных присвоений и вызовов функций. В качестве источников потенциально опасных данных рассматривается использование ассоциативных массивов $_GET, $_POST и $_COOKIE, но возможно и faʻamatalaga собственных источников. Из действий, требующих отслеживания экранирования, рассматриваются операции вывода, приводящие к формированию контента в формате HTML, добавлению HTTP-заголовков или выполнению SQL-запросов.

Проверка применяется при использовании таких функций, как echo, exec, include и header. При анализе необходимости экранирования учитываются типы данных, такие как текст, строки с SQL, HTML и Shell-кодом, строки с параметрами аутентификации. Предложенный режим позволяет выявлять уязвимости в коде, приводящие к межсайтовому скриптингу (XSS) или подстановке SQL-кода.

E le gata i lea, e mafai ona matauina le amataga альфа-тестирования новой ветки PHP 8.0. Релиз намечен на 26 ноября. В новой ветке ожидаются такие mea foupei:

Liliuina JIT compiler, o le faʻaaogaina o le a faʻaleleia ai le gaosiga.
lagolago ituaiga iuni, fa'amatala fa'aputuga e lua pe sili atu fo'i ituaiga (mo se fa'ata'ita'iga, “galuega fa'alaua'itele foo(Foo|Bar $input): int|float;”).
lagolago uiga (fa'amatalaga) e fa'ataga ai oe e fusifusia metadata (pei o fa'amatalaga fa'ailoga) i vasega e aunoa ma le fa'aogaina o le Docblock syntax.
Fa'apuupuu fa'asologa fa'amatalaga vasega, fa'atagaina oe e tu'ufa'atasia le fa'auigaina o se faufale ma meatotino.
Ituaiga toe faafoi fou - fuainumera.
Ituaiga fou - fefiloi, lea e mafai ona fa'aoga e iloa ai pe talia e se galuega fa'amaufa'ailoga o ituaiga eseese.
Faʻaaliga togi e taulimaina tuusaunoaga.
Fa'afanua vaivai e fatu ai mea e mafai ona ositaulaga i le taimi o le aoina o lapisi (mo se faʻataʻitaʻiga, e teu ai mea e le manaʻomia).
Avanoa faʻaaoga le faʻamatalaga ":: vasega" mo mea faitino (e tutusa ma le valaʻau get_class()).
Avanoa fa'auigaga ile poloka pu'e o tuusaunoaga e le o noatia i fesuiaiga.
Avanoa tu'u se koma pe a uma le elemene mulimuli i le lisi o fa'asologa o galuega.
Fa'aoga fou Stringable e iloa ai soʻo se ituaiga manoa poʻo faʻamatalaga e mafai ona liua i se manoa (lea e maua ai le __toString() auala).
Fa'ailoga fou str_contains(), o se fa'atusa faigofie o strpos mo le fuafuaina o le tupu mai o se substring, fa'apea fo'i galuega str_starts_with() ma str_ends_with() mo le siakiina o afitusi i le amataga ma le faaiuga o se manoa.
Fa'aopoopo galuega fdiv(), lea e fa'atino se fa'agaioiga vaevaega e aunoa ma le togiina o se mea sese pe a vaevae i le zero.
Suia manatu fa'afeso'ota'i manoa. Mo se faʻataʻitaʻiga, o le faaupuga 'echo "sum:" . $a + $b' na faauigaina muamua o le 'echo ("sum: " . $a) + $b', ma i le PHP 8 o le a faʻaaogaina o le 'echo "sum: " . ($a + $b)'.
Faamauina siaki fa'asologa o numera ma fa'agaioiga, mo se fa'ata'ita'iga, o fa'amatalaga "[] % [42]" ma le "$object + 4" o le a i'u ai i se mea sese.
Fa'atinoina o se fa'avasegaga fa'amautu algorithm lea e fa'asaoina ai le fa'asologa o tau tutusa i ta'aloga eseese.

puna: opennet.ru

Fa'asa'olotoina o le Salamo 3.12, o se su'esu'ega tumau mo le gagana PHP. Fa'asa'olotoga ole PHP 8.0

Faaopoopo i ai se faamatalaga faalēaogāina tali