PHP における静的解析（あるいはそもそも静的解析とは） / #phpcondo_yasai static analysis for PHP

Transcript

1. PHP における静的解析 （あるいはそもそも静的解析とは） 2024-01-11 PHPカンファレンス北海道2024 全然野菜

2. なにかがおかしいコード <?php // ... if ($empty($hoge)) { // ... }

3. <?php // ... if (empty($hoge)) { // ... } たぶんこう書きたかったんやろなあ

4. 実話です · 私が 1 年目のときに自分がつくったバグ · 実際には長いコードの一部であり、デバッグに半日かかった · エラーハンドリング等も不十分だったのもある ·

   PHP 的には構文エラーではないので余計に気づきにくい · $empty という変数は定義可能であるため

5. PHP における静的解析 （あるいはそもそも静的解析とは） 2024-01-11 PHPカンファレンス北海道2024 全然野菜

6. 「静的解析」とは プログラムを実行せずに行う解析のこと · 構文エラー検出 · コーディングスタイルチェック · 複雑性の検出 · 型のチェック

   · etc. ...... c.f.）動的解析：自動テスト、プロファイリング etc. ......

7. PHP の静的解析ツール例 · php -l コマンド · PHPMD · PHP_CodeSniffer（phpcs）

   · PHPStan · Psalm · Phan · （PhpStrom）

8. PHP の静的解析ツール例 · php -l コマンド · PHPMD · PHP_CodeSniffer（phpcs）

   · PHPStan ←本日取り上げるのはこちら · Psalm · Phan · （PhpStrom）

9. PHPStan https://phpstan.org/ ぞうさん かわいいね

10. PHPStan で検出できるもの（一例） · 構文エラー · 未定義の変数/定数/関数/クラス/メソッド · 間接的に typo を検出できる

    · 型の不整合 · エラーチェック漏れなど · 冗長なコード

11. Web ブラウザ上でおためしできます https://phpstan.org/try

12. Q. 何がおかしい？ <?php $environment = $_ENV['APP_ENV']; if ($enviroment === 'production')

    { // ... } https://phpstan.org/try

13. A. 変数の typo <?php $environment = $_ENV['APP_ENV']; if ($enviroment ===

    'production') { // ... } https://phpstan.org/try

14. <?php /** @var string $heystack */ if (strpos($heystack, 'a') ===

    fasle) { // ... } https://phpstan.org/try Q. 何がおかしい？

15. <?php /** @var string $heystack */ if (strpos($heystack, 'a') ===

    fasle) { // ... } https://phpstan.org/try A. Boolean リテラルの typo

16. <?php /** @var string $dsn */ $pdo = new PDO($dsn);

    $statement = $pdo->prepare('SELECT * FROM users WHERE id = ?;'); $statement->executeStatement([1]); https://phpstan.org/try Q. 何がおかしい？

17. <?php /** @var string $dsn */ $pdo = new PDO($dsn);

    $statement = $pdo->prepare('SELECT * FROM users WHERE id = ?;'); $statement->executeStatement([1]); https://phpstan.org/try A. 存在しないメソッド

18. <?php function getMonth(DateTimeImmutable $dt): int { return $dt->format('n'); } $now

    = new DateTime(); echo getMonth($now); https://phpstan.org/try Q. 何がおかしい？

19. <?php function getMonth(DateTimeImmutable $dt): int { return $dt->format('n'); } $now

    = new DateTime(); echo getMonth($now); https://phpstan.org/try A. 戻り値の型の不整合

20. <?php function getMonth(DateTimeImmutable $dt): int { return $dt->format('n'); } $now

    = new DateTime(); echo getMonth($now); https://phpstan.org/try A. 引数の型の不整合

21. 備考）PHP の DateTime と DateTimeImmutable <<interface>> DateTimeInterface DateTime DateTimeImmutable 互換性はない

22. <?php /** @var string $heystack */ $index = strpos($heystack, 'a');

    echo substr($heystack, $index); https://phpstan.org/try Q. 何がおかしい？

23. https://phpstan.org/try <?php /** @var string $heystack */ $index = strpos($heystack,

    'a'); echo substr($heystack, $index); A. 型の不整合（false チェック漏れ）

24. 余談）PHPDoc と組み合わせてより高度な型情報を扱える 今回は割愛 <?php declare(strict_types = 1); class Person {

    /** @var int<0, max> $age */ public int $age; } /** * @param non-empty-list<Person> $persons */ function findOldestPerson(array $persons): Person { $oldestPerson = $persons[0]; foreach ($persons as $person) { if ($person->age > $oldestPerson->age) { $oldestPerson = $person; } } return $oldestPerson; }

25. 余談）PHPDoc と組み合わせてより高度な型情報を扱える 今回は割愛 <?php declare(strict_types = 1); class Person {

    /** @var int<0, max> $age */ public int $age; } /** * @param non-empty-list<Person> $persons */ function findOldestPerson(array $persons): Person { $oldestPerson = $persons[0]; foreach ($persons as $person) { if ($person->age > $oldestPerson->age) { $oldestPerson = $person; } } return $oldestPerson; }

26. さて https://speakerdeck.com/twada/growing-reliable-code-phperkaigi-2022?slide=10

27. さて https://speakerdeck.com/twada/growing-reliable-code-phperkaigi-2022?slide=10 静的解析を実施するのは だいたいこのタイミング（たぶん）

28. 冒頭のコードを PHPStan にかけると <?php // ... if ($empty($hoge)) { //

    ... }

29. 冒頭のコードを PHPStan にかけると https://phpstan.org/r/45d617bb-1bc1-4e2a-a1e9-24b8deeefff9

30. 冒頭のコードを PHPStan にかけると https://phpstan.org/r/45d617bb-1bc1-4e2a-a1e9-24b8deeefff9

31. つまり https://speakerdeck.com/twada/growing-reliable-code-phperkaigi-2022?slide=10 静的解析ツールを使っていれば 不具合の発見のタイミングを早め傷を小さく収められた （また、ツールによって瞬時に発見できた）

32. まとめ · 静的解析ツールを使うとテストコードを書く以外の方法で 潜在的な不具合（うっかりミス等）を発見できる · ツールを使いこなして生産性をあげよう · （発展）PHP における型を意識した設計、実装の幅を広げてくれ る

    · あくまで外部ツールであり、PHP のランタイムそのものを安 全にしてくれるわけではないので注意