phan

Phan ist ein statischer Analysator für PHP, der Fehlalarme minimiert. Phan versucht eher, Unrichtigkeit als Richtigkeit zu beweisen.

Phan sucht nach häufigen Problemen und überprüft die Typkompatibilität bei verschiedenen Vorgängen, wenn Typinformationen verfügbar sind oder abgeleitet werden können. Phan verfügt über ein gutes (aber nicht umfassendes) Verständnis der Flusskontrolle und kann Werte in einigen Anwendungsfällen verfolgen (z. B. Arrays, Ganzzahlen und Zeichenfolgen).

Der einfachste Weg, Phan zu nutzen, ist über Composer.

 composer require phan/phan

Wenn Phan installiert ist, möchten Sie in Ihrem Projekt eine .phan/config.php Datei erstellen, um Phan mitzuteilen, wie es Ihren Quellcode analysieren soll. Sobald es konfiguriert ist, können Sie es über ./vendor/bin/phan ausführen.

Phan 5 basiert auf PHP 7.2+ mit der Erweiterung php-ast (1.1.1+ wird bevorzugt) und unterstützt die Analyse der PHP-Syntaxversion 7.0–8.2. Eine Installationsanleitung für php-ast finden Sie hier. (Phan kann ohne php-ast verwendet werden, indem die CLI-Option --allow-polyfill-parser verwendet wird, es gibt jedoch geringfügige Unterschiede beim Parsen von Dokumentkommentaren.)

• Alternative Installationsmethoden
  Unter „Erste Schritte“ finden Sie alternative Methoden zur Verwendung von Phan und Einzelheiten zur Konfiguration von Phan für Ihr Projekt.
  
• Inkrementell stärkende Analyse
  Werfen Sie einen Blick auf „Inkrementell stärkende Analyse“, um einige Tipps zu erhalten, wie Sie die Genauigkeit der Analyse langsam steigern können, wenn Ihr Code besser für die Analyse gerüstet ist.
  
• Abhängigkeiten installieren
  Werfen Sie einen Blick auf „Installieren von Phan-Abhängigkeiten“, um Hilfe bei der Installation der Phan-Abhängigkeiten auf Ihrem System zu erhalten.

Das Wiki enthält weitere Informationen zur Verwendung von Phan.

Phan ist in der Lage, die folgenden Arten von Analysen durchzuführen:

• Überprüfen Sie, ob alle Methoden, Funktionen, Klassen, Merkmale, Schnittstellen, Konstanten, Eigenschaften und Variablen definiert und zugänglich sind.
• Überprüfen Sie, ob bei Methoden-/Funktions-/Abschlussaufrufen Typsicherheits- und Aritätsprobleme vorliegen.
• Überprüfen Sie die Abwärtskompatibilität von PHP8/PHP7/PHP5.
• Suchen Sie nach Funktionen, die in älteren Nebenversionen von PHP 7.x nicht unterstützt wurden (z. B. object , void , iterable , ?T , [$x] = ...; , negative String-Offsets, mehrere Ausnahme-Catches usw.)
• Überprüfen Sie die Vernunft bei Array-Zugriffen.
• Überprüfen Sie die Typsicherheit bei binären Operationen.
• Überprüfen Sie Methoden, Funktionen und Abschlüsse auf gültige und typsichere Rückgabewerte.
• Überprüfen Sie Arrays, Abschlüsse, Konstanten, Eigenschaften, Variablen, unäre Operatoren und binäre Operatoren auf No-Ops.
• Suchen Sie nach unbenutztem/totem/nicht erreichbarem Code. (Übergeben Sie --dead-code-detection )
• Suchen Sie nach nicht verwendeten Variablen und Parametern. (Übergeben Sie --unused-variable-detection )
• Suchen Sie nach redundanten oder unmöglichen Bedingungen und sinnlosen Ausführungen. (Übergeben Sie --redundant-condition-detection )
• Suchen Sie nach unbenutzten use . Diese und einige andere Problemtypen können mit --automatic-fix automatisch behoben werden.
• Überprüfen Sie, ob Klassen, Funktionen und Methoden neu definiert werden.
• Überprüfen Sie, ob die Klassenvererbung korrekt ist (überprüft beispielsweise die Kompatibilität der Methodensignatur). Phan prüft außerdem, ob endgültige Klassen/Methoden überschrieben werden, ob abstrakte Methoden implementiert sind und ob die implementierte Schnittstelle tatsächlich eine Schnittstelle ist (usw.).
• Unterstützt Namespaces, Merkmale und Variadics.
• Unterstützt Union-Typen.
• Unterstützt generische Typen (z. B. @template ).
• Unterstützt generische Arrays wie int[] , UserObject[] , array<int,UserObject> usw.
• Unterstützt Array-Formen wie array{key:string,otherKey:?stdClass} usw. (intern und in PHPDoc-Tags). Dies unterstützt auch die Angabe, dass Felder einer Array-Form optional sind über array{requiredKey:string,optionalKey?:string} (nützlich für @param )
• Unterstützt Anmerkungen vom Typ phpdoc.
• Unterstützt die Übernahme von Annotationen vom Typ phpdoc.
• Unterstützt die Überprüfung, ob phpdoc-Typanmerkungen eine eingegrenzte Form (z. B. Unterklassen/Untertypen) der echten Typsignaturen sind
• Unterstützt das Ableiten von Typen aus Assert()-Anweisungen und Bedingungen in if-Elementen/Schleifen.
• Unterstützt die @deprecated -Annotation zum Verwerfen von Klassen, Methoden und Funktionen
• Unterstützt @internal -Annotation für Elemente (z. B. eine Konstante, Funktion, Klasse, Klassenkonstante, Eigenschaft oder Methode) als intern für das Paket, in dem sie definiert ist.
• Unterstützt @suppress <ISSUE_TYPE> -Annotationen zum Unterdrücken von Problemen.
• Unterstützt magische @property-Annotationen ( @property <union_type> <variable_name> )
• Unterstützt magische @method-Annotationen ( @method <union_type> <method_name>(<union_type> <param1_name>) )
• Unterstützt class_alias Anmerkungen (experimentell, standardmäßig deaktiviert)
• Unterstützt die Angabe der Klasse, an die ein Abschluss gebunden wird, über @phan-closure-scope (Beispiel)
• Unterstützt die Analyse von Abschlüssen und Rückgabetypen, die an array_map , array_filter und andere interne Array-Funktionen übergeben werden.
• Bietet eine umfassende Konfiguration zur Abschwächung der Analyse, um sie bei großen, schlampigen Codebasen nützlich zu machen
• Kann auf vielen Kernen ausgeführt werden. (erfordert pcntl )
• Die Ausgabe erfolgt in den Formaten Text, Checkstyle, JSON, Pylint, CSV oder Codeclimate.
• Kann Benutzer-Plugins auf der Quelle ausführen, um für Ihren Code spezifische Prüfungen durchzuführen. Phan enthält verschiedene Plugins, die Sie möglicherweise für Ihr Projekt aktivieren möchten.

Beschreibungen und Beispiele aller Probleme, die von Phan erkannt werden können, finden Sie unter Phan-Problemtypen. Werfen Sie einen Blick auf PhanIssue, um die Definition jedes Fehlertyps zu sehen.

Werfen Sie einen Blick auf das Tutorial zum Analysieren einer großen schlampigen Codebasis, um einen Eindruck davon zu bekommen, wie der Prozess der fortlaufenden Analyse für Sie aussehen könnte.

Phan kann über das Language Server Protocol von verschiedenen Editoren und IDEs aus zur Fehlerprüfung, zur „Go-to-Definition“-Unterstützung usw. verwendet werden. Mit dem einfacheren Daemon-Modus können Redakteure und Tools auch die Analyse einzelner Dateien in einem Projekt anfordern.

Einige Beispiele für die verschiedenen Prüfungen finden Sie im Testverzeichnis.

Phan ist unvollständig und sollte nicht als Beweis dafür verwendet werden, dass Ihr PHP-basiertes Raketenleitsystem fehlerfrei ist.

Zusätzliche Analysefunktionen wurden durch Plugins bereitgestellt.

• Überprüfung auf syntaktisch nicht erreichbare Anweisungen (z. B. { throw new Exception("Message"); return $value; } )
• *printf() Formatzeichenfolgen anhand der bereitgestellten Argumente prüfen (und auf häufige Fehler prüfen)
• Überprüfen, ob an preg_*() übergebene PCRE-Regexes gültig sind
• Suche nach @suppress -Annotationen, die nicht mehr benötigt werden.
• Suche nach doppelten oder fehlenden Array-Schlüsseln.
• Überprüfen der Codierungsstilkonventionen
• Andere

Beispiel: Phans Plugins zur Selbstanalyse.

Nach der Installation von Phan muss Phan mit Details dazu konfiguriert werden, wo der zu analysierende Code zu finden ist und wie er analysiert werden soll. Der einfachste Weg, Phan mitzuteilen, wo der Quellcode zu finden ist, besteht darin, eine .phan/config.php Datei zu erstellen. Eine einfache .phan/config.php Datei könnte etwa wie folgt aussehen.

 <?php

/ * *
 * This configuration will be read and overlaid on top of the
 * default configuration . Command line arguments will be applied
 * after this file is read .
 * /
return [

    // Supported values : `'5.6'` , `'7.0'` , `'7.1'` , `'7.2'` , `'7.3'` , `'7.4'` ,
    // `'8.0'` , `'8.1'` , `'8.2'` , `'8.3'` , `null` .
    // If this is set to `null` ,
    // then Phan assumes the PHP version which is closest to the minor version
    // of the php executable used to execute Phan .
    " target_php_version " => null ,

    // A list of directories that should be parsed for class and
    // method information . After excluding the directories
    // defined in exclude_analysis_directory_list , the remaining
    // files will be statically analyzed for errors .
    //
    // Thus , both first - party and third - party code being used by
    // your application should be included in this list .
    ' directory_list ' => [
        ' src ' ,
        ' vendor/symfony/console ' ,
    ],

    // A directory list that defines files that will be excluded
    // from static analysis , but whose class and method
    // information should be included .
    //
    // Generally , you ' ll want to include the directories for
    // third - party code ( such as "vendor/" ) in this list .
    //
    // n . b .: If you ' d like to parse but not analyze 3 rd
    //       party code , directories containing that code
    //       should be added to the `directory_list` as
    //       to `exclude_analysis_directory_list` .
    " exclude_analysis_directory_list " => [
        ' vendor/ '
    ],

    // A list of plugin files to execute .
    // Plugins which are bundled with Phan can be added here by providing their name
    // ( e . g . 'AlwaysReturnPlugin' )
    //
    // Documentation about available bundled plugins can be found
    // at https : // github . com / phan / phan / tree / v5 / . phan / plugins
    //
    // Alternately , you can pass in the full path to a PHP file
    // with the plugin ' s implementation .
    // ( e . g . 'vendor/phan/phan/.phan/plugins/AlwaysReturnPlugin.php' )
    ' plugins ' => [
        // checks if a function , closure or method unconditionally returns .
        // can also be written as 'vendor/phan/phan/.phan/plugins/AlwaysReturnPlugin.php'
        ' AlwaysReturnPlugin ' ,
        ' DollarDollarPlugin ' ,
        ' DuplicateArrayKeyPlugin ' ,
        ' DuplicateExpressionPlugin ' ,
        ' PregRegexCheckerPlugin ' ,
        ' PrintfCheckerPlugin ' ,
        ' SleepCheckerPlugin ' ,
        // Checks for syntactically unreachable statements in
        // the global scope or function bodies .
        ' UnreachableCodePlugin ' ,
        ' UseReturnValuePlugin ' ,
        ' EmptyStatementListPlugin ' ,
        ' LoopVariableReusePlugin ' ,
    ],
];

Weitere Einzelheiten finden Sie unter Erstellen einer Konfigurationsdatei und Inkrementelle Stärkung der Analyse.

Wenn Sie phan --help ausführen, werden Nutzungsinformationen und Befehlszeilenoptionen angezeigt.

Phan liest und versteht die meisten PHPDoc-Typanmerkungen, einschließlich Union-Typen (wie int|MyClass|string|null ) und generischen Array-Typen (wie int[] oder string[]|MyClass[] oder array<int,MyClass> ).

Werfen Sie einen Blick auf Annotieren Ihres Quellcodes und Informationen zu Union-Typen, um Hilfe beim Einstieg in die Definition von Typen in Ihrem Code zu erhalten.

Phan unterstützt Annotationen (int|string)[] Stil und stellt sie intern als int[]|string[] dar (Beide Annotationen werden wie Arrays behandelt, die ganze Zahlen und/oder Zeichenfolgen enthalten können). Wenn Sie Arrays mit gemischten Typen haben, verwenden Sie einfach array .

Der folgende Code zeigt die verschiedenen unterstützten Anmerkungen.

 / * *
 * @ return void
 * /
function f () {}

/ * * @ deprecated * /
class C {
    / * * @ var int * /
    const C = 42 ;

    / * * @ var string [] | null * /
    public $ p = null ;

    / * *
     * @ param int | null $ p
     * @ return string [] | null
     * /
    public static function f ( $ p ) {
        if ( is_null ( $ p )) {
            return null ;
        }

        return array_map (
            / * * @ param int $ i * /
            function ( $ i ) {
                return " thing $ i " ;
            },
            range ( 0 , $ p )
        );
    }
}

Genau wie in PHP kann jeder Typ in der Funktionsdeklaration auf Null gesetzt werden, was auch bedeutet, dass für diesen Parameter ein Nullwert übergeben werden darf.

Phan prüft den Typ jedes einzelnen Array-Elements (einschließlich Schlüssel und Werte). In der Praxis bedeutet dies, dass [$int1=>$int2,$int3=>$int4,$int5=>$str6] als array<int,int|string> angesehen wird, das Phan als array<int,int>|array<int,string> darstellt array<int,int>|array<int,string> . [$strKey => new MyClass(), $strKey2 => $unknown] wird als array<string,MyClass>|array<string,mixed> dargestellt.

• Literale wie [12,'myString'] werden intern als Array-Formen wie array{0:12,1:'myString'} dargestellt.

Dieser statische Analysator verfolgt keine Includes und versucht nicht, die Autoloader-Magie herauszufinden. Es behandelt alle Dateien, die Sie darauf werfen, als eine große Anwendung. Für in Klassen gekapselten Code funktioniert dies gut. Bei Code, der im globalen Bereich ausgeführt wird, wird es etwas knifflig, da die Reihenfolge wichtig ist. Wenn Sie eine index.php haben, die eine Datei enthält, die eine Reihe globaler Variablen festlegt, und Sie dann versuchen, nach dem include(...) in index.php auf diese zuzugreifen, weiß der statische Analysator nichts darüber.

In der Praxis bedeutet dies einfach, dass Sie Ihre Einstiegspunkte und alle Dateien, die Dinge im globalen Bereich festlegen, ganz oben auf Ihrer Dateiliste platzieren sollten. Wenn Sie eine config.php haben, die globale Variablen festlegt, die alles andere benötigt, dann sollten Sie diese zuerst in die Liste einfügen, gefolgt von Ihren verschiedenen Einstiegspunkten und dann allen Ihren Bibliotheksdateien, die Ihre Klassen enthalten.

Schauen Sie sich den Entwicklerleitfaden für Phan an, um Hilfe beim Einstieg in das Hacken von Phan zu erhalten.

Wenn Sie ein Problem finden, nehmen Sie sich bitte die Zeit, einen kleinen reproduzierenden Codeausschnitt zu erstellen, der den Fehler veranschaulicht. Und wenn Sie das getan haben, beheben Sie es. Verwandeln Sie dann Ihr Code-Snippet in einen Test und fügen Sie ihn zu „Tests“ und dann zu ./test hinzu und senden Sie eine PR mit Ihrem Fix und Test. Alternativ können Sie ein Problem mit Details öffnen.

Um Phans Unit-Tests auszuführen, führen Sie einfach ./test aus.

Um alle Komponententests und Integrationstests von Phan auszuführen, führen Sie ./tests/run_all_tests.sh aus

Wir sind bestrebt, eine einladende Gemeinschaft zu fördern. Jeder Teilnehmer und Mitwirkende ist verpflichtet, unseren Verhaltenskodex einzuhalten.

Voraussetzung hierfür ist eine aktuelle Version von Firefox/Chrome und mindestens 4 GB freier RAM. (Dies ist ein 15 MB großer Download)

Führen Sie Phan vollständig in Ihrem Browser aus.