Jak przeprowadzić statyczną analizę kodu w PHP? [zamknięte]

Online PHP lint

PHPLint

Unitialized variables check . Link 1 i 2 już wydają się robić to dobrze.

Nie mogę jednak powiedzieć, że używałem ich intensywnie:)

Dla kompletności -- sprawdź również phpCallGraph.

PHP Mess Detector jest niesamowity i szybki.

Próbowałem użyć php -l i kilku innych narzędzi.

Jednak najlepszym z moich doświadczeń (przebieg może się różnić, oczywiście) jest scheck z zestawu narzędzi pfff . Słyszałem o pfff na Quorze (czy istnieje dobre narzędzie do analizy lint / statycznej PHP?).

Możesz go skompilować i zainstalować. Nie ma ładnych pakietów (na moim Linux Mint Debian system, musiałem zainstalować libpcre3-dev, ocaml, libcairo-dev , libgtk-3-dev i libgimp2.0-dev najpierw zależności), ale powinna być warta instalacji.

Wyniki są zgłaszane jak

$ ~/sw/pfff/scheck ~/code/github/sc/
login-now.php:7:4: CHECK: Unused Local variable $title
go-automatic.php:14:77: CHECK: Use of undeclared variable $goUrl.

Zobacz Semantic Designs' CloneDR, Narzędzie do wykrywania klonów, które znajduje kopiuj / wklej / edytowany kod.

Znajdzie dokładne i bliskie fragmenty kodu, pomimo białych spacji, komentarzy, a nawet zmiennych zmian nazw. Przykładowy raport wykrywania PHP można znaleźć na stronie internetowej. (Jestem autorem.)

NetBeans IDE sprawdza Błędy składniowe, nieużywane zmienne itp. Nie jest zautomatyzowany, ale działa dobrze dla małych i średnich projektów.

Istnieje nowe narzędzie o nazwie nWire dla PHP. Jest to wtyczka do eksploracji kodu dla Eclipse PDT i Zend Studio 7.x. umożliwia analizę kodu w czasie rzeczywistym dla PHP i zapewnia następujące narzędzia:

• Wizualizacja kodu-interaktywne graficzne przedstawienie komponentów i skojarzeń.
• Nawigacja kodu-unikalny widok nawigacji pokazuje wszystkie skojarzenia i współpracuje z Tobą podczas pisania lub czytania kodu.
• Quick search-szukaj jak ty typ dla metod, pól, pliku, itp.

PHP PMD (Wykrywacz błędów programowania) i PHP CPD (Wykrywacz kopiowania/wklejania) jako dawna część PHPUnit.

Istnieje RIPS - statyczny analizator kodu źródłowego dla luk w skryptach PHP . Źródła RIP dostępne w SourceForge .

Ze strony RIPS:

RIPS jest narzędziem napisanym w PHP do znajdowania luk w PHP aplikacje wykorzystujące statyczną analizę kodu. Poprzez tokenizację i analizę wszystkich pliki kodu źródłowego RIPS jest w stanie przekształcić kod źródłowy PHP w model programu oraz wykrywanie wrażliwych zlewozmywaków (potencjalnie podatnych na funkcje), które mogą być skażone przez userinput (pod wpływem złośliwego użytkownika) podczas przepływu programu. Poza strukturyzowanym efektem znalezionych luki RIPS oferuje również zintegrowaną strukturę audytu kodu do dalszej analizy manualnej.

Istnieje narzędzie do statycznej analizy kodu o nazwie PHP Analyzer . PHP Analyzer jest obecnie przestarzałym projektem, ale nadal możesz uzyskać do niego dostęp w starszej gałęzi.

Wśród wielu rodzajów analizy statycznej zapewnia również podstawową funkcję automatycznego naprawiania, patrz dokumentacja .

Możesz spróbować skompilować z hiphopem Facebook ' a.

Robi statyczną analizę całego projektu i może być tym, czego szukasz.

Https://github.com/facebook/hiphop-php