Como executar a análise de código estático em php? [fechadas]

466

Existe uma ferramenta de análise estática para arquivos de origem PHP? O próprio binário pode verificar se há erros de sintaxe, mas estou procurando algo que faça mais, como:

atribuições de variáveis não utilizadas
matrizes que são atribuídas sem serem inicializadas primeiro
e possivelmente avisos de estilo de código
...

php code-analysis static-analysis

— Eswald
fonte

57

Righty-o: fechado pelo SO, quando claramente esse tipo de resposta é incrivelmente útil.

— Ira Baxter

3

aceita. Esta questão é crucial. O php lint (arquivo php -l) falha ao fornecer a outra metade: execute o carregamento automático, verifique se existe uma função chamada, se existem variáveis, se existem propriedades do objeto. etc

— Max

6

@IraBaxter útil, mas não, estritamente falando, sobre o tema. softwarerecs.stackexchange.com é provavelmente um local mais tópico. Claro que a ironia aqui é que muitos mais desenvolvedores estão familiarizados com SO do que do irmão ...

— Wayne Werner

7

O fato de tantas pessoas acharem esse tipo de pergunta útil é provavelmente o motivo pelo qual softwarerecs agora existe. Certamente parecia voltar ao tópico quando este era o único site de troca de pilhas. Agora que há um lugar claro para isso, faz sentido migrar?

— eswald

4

Fechado devido a fechos com gatilho. Bah!

— Roadowl

356

Execute o php no modo lint na linha de comando para validar a sintaxe sem execução:

php -l FILENAME

Os analisadores estáticos de nível superior incluem:

Os analisadores de nível inferior incluem:

PHP_Parser
token_get_all (função primitiva)

Os analisadores de tempo de execução, que são mais úteis para algumas coisas devido à natureza dinâmica do PHP, incluem:

O Xdebug possui cobertura de código e rastreamentos de funções .
Minha ferramenta PHP Tracer utiliza uma abordagem estática / dinâmica combinada, baseada nos traços de função do Xdebug.

As bibliotecas de documentação phpdoc e doxygen realizam um tipo de análise de código. O oxigênio, por exemplo, pode ser configurado para renderizar bons gráficos de herança com o graphviz .

Outra opção é o xhprof , que é semelhante ao xdebug, mas mais leve, tornando-o adequado para servidores de produção. A ferramenta inclui uma interface baseada em PHP.

— Troelskn
fonte

20

+1 por tirar 6 horas da minha vida tentando todas essas guloseimas!

— Abe Petrillo

14

@ Dimitko: Isso porque php -lsó é possível ler um arquivo de entrada por vez (isto é, não funcionará se você o fizer php -l file1.php file2.php). Em vez disso, você precisa usar a -n 1opção, que informa xargspara usar apenas uma linha de entrada por processo de comando. Isso fará com que seja executado php -l file1.phpseguido por php -l file2.php, separadamente. Ao mesmo tempo, você pode usar -P <n>para executar processos "n" por vez, a fim de paralelizar a execução:find . -name '*.inc' -o -name '*.php' -print0 | xargs -0 -n1 -P10 php -l

— Joe

11

find /your/path -name '*.php' -exec php -l {} \;funciona confiável.

— Koen.

11

NB : Para que a função lint interna ( php -l) funcione, é necessário configurá display_errors = on-la php.ini, caso contrário você receberá apenas uma mensagem genérica sobre a existência de erros de sintaxe, mas não há detalhes sobre quais erros ou linhas.

— Synetech 14/07

8

Synetech - Bom. Você pode substituir a configuração na linha de comando, usando o -dswitch. Por exemplophp -l -d display_errors=on $FILENAME

— troelskn 14/07

38

Fiapo PHP on-line

PHPLint

Verificação de variáveis unitizada . Os links 1 e 2 já parecem fazer isso muito bem.

Não posso dizer que usei intensivamente qualquer um desses :)

— Martijn Laarman
fonte

Sua resposta fez o meu dia hoje ser ótimo! +1

— Guilherme Nascimento

27

Para completar - verifique também o phpCallGraph .

— Até
fonte

24

O PHP Mess Detector é incrível e rápido.

— aredridel
fonte

7

Obrigado! Eu estava procurando por um incrível. Na verdade, eu me recuso a usar qualquer coisa, menos ferramentas incríveis. :)

— Contrato do Prof. Falken violado

1

É um começo, e parece ser o que o Netbeans usa, mas eu não confiaria completamente nele. Algumas de suas opções são simplesmente estranhas ("avisando" se você usar uma instrução else ??), e existem inúmeros erros grandes em suas detecções, que nem tiveram uma resposta dos desenvolvedores: github.com/phpmd / phpmd / issues

— NoBugs 16/15

O else adiciona complexidade ciclomática e pode ser escrito de forma diferente para evitar outro. por exemplo, se (verdadeiro) {$ x = 1; } mais {$ x = 2; } pode ser reescrita: $ x = 2; se (verdadeiro) {$ x = 1; }

— RichardAtHome

17

Eu tentei usar $ php -l e algumas outras ferramentas. No entanto, o melhor em minha experiência (YMMV, é claro) é um pedaço do conjunto de ferramentas pfff . Eu ouvi sobre o pfff no Quora ( http://www.quora.com/Is-there-a-good-PHP-lint-static-analysis-tool )

Você pode compilar e instalar. Não existem pacotes agradáveis (no meu Debian mint, eu tinha que instalar as dependências libpcre3-dev, ocaml, libcairo-dev, libgtk-3-dev e libgimp2.0-dev primeiro), mas deve valer a pena um intsall.

Os resultados são relatados como

rjha@mint ~ $ ~/sw/pfff/scheck ~/code/github/sc/
login-now.php:7:4: CHECK: Unused Local variable $title
go-automatic.php:14:77: CHECK: Use of undeclared variable $goUrl.

— rjha94
fonte

Obrigado. Ele continua reclamando sobre nossas importações dinâmicas, mas seus outros recursos parecem bons até agora. Eu também precisava instalar o binutils-gold, e o scheck precisava ser instalado em um caminho personalizado, mas parece funcionar agora.

— eswald

1

@ Eswald Hoje em dia eu sou um conversor de php mess detector (phpmd). De todas as ferramentas que tentei até agora (sniffer de código php, scheck, php -l, phpmd), IMHO, o phpmd funciona melhor para o meu caso.

— Rjha94

Você sabe onde encontrar Scheck?

— George Katsanos

1

@GeorgeKatsanos scheck faz parte do conjunto de ferramentas pfff. github.com/facebook/pfff

— rjha94

2

Scheck sempre me dá o erro "o verificador php precisa de um arquivo gráfico". A documentação quase inexistente não tem exemplos.

— Robert Bruce

14

Veja o CloneDR da Semantic Designs , uma ferramenta de "detecção de clones" que localiza o código de copiar / colar / editar. Ele encontrará fragmentos de código exatos e quase errados, apesar de espaços em branco, comentários e até renomeamentos de variáveis. Um relatório de detecção de amostra para PHP pode ser encontrado no site. (Eu sou o autor).

— Ira Baxter
fonte

1

Olhando para o site, isso parece uma ferramenta incrível. Vou olhar mais de perto mais tarde! Obrigado pelo link (+1 por "Eu sou o autor")

— Eric Cope

A proibição de qualquer graduação conivente.

— Wom

7

O NetBeans IDE verifica erros de sintaxe, variáveis não utilizadas e outras coisas. Não é automatizado, mas funciona bem para projetos pequenos ou médios.

— slikts
fonte

6

Existe uma nova ferramenta chamada nWire for PHP . É um plug-in de exploração de código para Eclipse PDT e Zend Studio 7.x. Ele permite a análise de código em tempo real para PHP e fornece as seguintes ferramentas:

Visualização de código - representação gráfica interativa de componentes e associações.
Navegação de código - a visualização de navegação exclusiva mostra todas as associações e funciona com você enquanto você escreve ou lê o código.
Pesquisa rápida - pesquise enquanto você digita métodos, campos, arquivos etc.

— zvikico
fonte

1

não é resposta para pergunta. como resposta existe netbeans etc.

— Yosef

5

PHP PMD (detector de bagunça de projeto) e PHP CPD (detector de copiar e colar) como a parte anterior do PHPUnit

— erenon
fonte

4

Existe o RIPS - um analisador de código fonte estático para vulnerabilidades em scripts PHP . Fontes de RIPS disponíveis no SourceForge .

No site do RIPS:

O RIPS é uma ferramenta escrita em PHP para encontrar vulnerabilidades em aplicativos PHP usando análise de código estática. Ao tokenizar e analisar todos os arquivos de código-fonte, o RIPS pode transformar o código-fonte PHP em um modelo de programa e detectar sumidouros sensíveis (funções potencialmente vulneráveis) que podem ser contaminadas pela entrada do usuário (influenciada por um usuário mal-intencionado) durante o fluxo do programa. Além da saída estruturada das vulnerabilidades encontradas, o RIPS também oferece uma estrutura de auditoria de código integrada para análises manuais adicionais.

— SteAp
fonte

O RIPS é um projeto semi-morto e funciona apenas com código php não OOP.

— Alexglue

3

Existe uma ferramenta absolutamente nova para análise de código estático chamada PHP Analyzer .

Entre muitos tipos de análise estática, ele também fornece a funcionalidade básica de correção automática, consulte a documentação .

ATUALIZAÇÃO: O PHP-Analyzer agora é um projeto obsoleto, mas você ainda pode acessá-lo na ramificação herdada

— fatganz
fonte

2

Você pode tentar compilar com o hiphop do Facebook.

Ele faz uma análise estática de todo o projeto e pode ser o que você está procurando.

https://github.com/facebook/hiphop-php

— Martin Konecny
fonte