php静态分析

1. php 类中的static有什么作用

static 是C中很常用的修饰符,它被用来控制变量的存储方式和可见性
static 声明的变量在C语言中有两方面的特征：

1)、变量会被放在程序的全局存储区中，这样可以在下一次调用的时候还可以保持原来的赋值。这一点是它与堆栈变量和堆变量的区别。

2)、变量用static告知编译器，自己仅仅在变量的作用范围内可见。这一点是它与全局变量的区别。

2、问题：Static的理解

关于static变量，请选择下面所有说法正确的内容：

A、若全局变量仅在单个C文件中访问，则可以将这个变量修改为静态全局变量，以降低模块间的耦合度；

B、若全局变量仅由单个函数访问，则可以将这个变量改为该函数的静态局部变量，以降低模块间的耦合度；

C、设计和使用访问动态全局变量、静态全局变量、静态局部变量的函数时，需要考虑重入问题；

D、静态全局变量过大，可那会导致堆栈溢出。

答案与分析：

对于A，B：根据本篇概述部分的说明b)，我们知道，A,B都是正确的。

对于C：根据本篇概述部分的说明a)，我们知道，C是正确的（所谓的函数重入问题，下面会详细阐述）。

对于D：静态变量放在程序的全局数据区，而不是在堆栈中分配，所以不可能导致堆栈溢出，D是错误的。

因此，答案是A、B、C。

3、问题：不可重入函数

曾经设计过如下一个函数，在代码检视的时候被提醒有bug，因为这个函数是不可重入的，为什么？

unsigned int sum_int( unsigned int base )
{
unsigned int index;
static unsigned int sum = 0; // 注意，是static类型的。
for (index = 1; index <= base; index++)
{
sum += index;
}
return sum;
}

答案与分析：

所谓的函数是可重入的（也可以说是可预测的），即：只要输入数据相同就应产生相同的输出。

这个函数之所以是不可预测的，就是因为函数中使用了static变量，因为static变量的特征，这样的函数被称为：带“内部存储器”功能的的函数。因此如果我们需要一个可重入的函数，那么，我们一定要避免函数中使用static变量，这种函数中的static变量，使用原则是，能不用尽量不用。

将上面的函数修改为可重入的函数很简单，只要将声明sum变量中的static关键字去掉，变量sum即变为一个auto 类型的变量，函数即变为一个可重入的函数。

当然，有些时候，在函数中是必须要使用static变量的，比如当某函数的返回值为指针类型时，则必须是static的局部变量的地址作为返回值，若为auto类型，则返回为错指针。

2. 程序静态分析的着名的静态分析工具

Meta-Compilation（Coverity）
由Stanford大学的Dawson Engler副教授等研究开发，该静态分析工具允许用户使用一种称作metal的状态机语言编写自定义的时序规则，从而实现了静态分析工具的可扩展性。MC的实际效果非常优秀，号称在Linux内核中找出来数百个安全漏洞。MC目前已经商业化，属于Coverity Inc.2014年被Synopsys收购。目前学术领域比较认可的静态分析工具，其技术处于领先地位。
mygcc 由一个法国人N. Volanschi开发，其思想来源于MC，试图将自定义的错误检测集成到编译时。
Klocwork
国内用的最为广泛的静态分析工具，由加拿大北电于1996年研发，是中国最早的能够检测语义缺陷的静态分析工具。截止到2015年其版本号为V10,也就是大家常说的K10
LDRA Testbed
英国的编码规则类检测工具，前身为Liverpool大学开发，能够支持C/C++数千种条目的规则检测，包括MISRA C/C++, GJB5369等，是最早进入中国市场的静态分析工具，在军队、军工广泛使用，但其技术仅支持风格类检测，无法进行语义缺陷分析，导致一些常用的运行时缺陷无法发现或者较高误漏报，由此市场占有率逐步下降。截止到2015年其版本号为9.5
HP Fortify
美国HP公司的支持安全漏洞类的检测工具，能够检测C/C++/Java/PHP/ASP/JavaScript等多种语言，数千种检测项，是国内使用最为广泛的静态分析工具。但该工具整体的误报漏报率较高，虽然支持很多种安全漏洞，但需要用户做很多的二次开发工作。
Cobot(库博)
北京大学软件工程中心研发的静态分析工具，能够支持编码规则，语义缺陷的程序分析，能够支持C/C++数千条规则和缺陷的检测，是我国唯一可以称的上是静态分析产品的商业化工具。由于其自主知识产权，对国内的操作系统，编码标准支持的较好，检测精度也基本与上述工具持平，所以也得到了很多用户的认可。
Parasoft C++Test
美国Parasoft公司研发的支持C、C++静态分析的工具，该工具除了可以检测编码规则外，还能检测少量的语义缺陷，此外能够进行测试用例生成。

3. php 静态方法 是什么意思

<?php
header('content-type:text/html;charset=utf-8');
/*
普通方法，存放类内，只有一份
静态方法，也是存放于类内，只有一份
区别在于：普通方法需要对象去调用，需要绑定$this
即，普通方法，必须要有对象，然后让对象来调用
而静态方法，不属于哪一个对象，因此不需要绑定$this
即，不需要对象也可以调用
*/
class Human{
static public $head=1;
public function easyeat(){
echo '普通方法吃饭<br />';
}
static public function eat(){
echo '静态方法吃饭<br />';
}
public function intro(){
echo $this->name;
}
}
Error_reporting(E_ALL|E_STRICT);
//此时没有对象！方法可以执行
Human::eat();
/*
以下方法easyeat是一个非静态方法,就由对象来调用，但，用类来调用此方法来也可以执行,而严格状态下，此方法会执行，同时报错,
Strict Standards: Non-static method Human::easyeat() should not be called statically in D:\application\PHPnow-1.5.6\htdocs\yan18\types\staticfun.php on line 32
*/
Human::easyeat();
/*
接上，从逻辑来理解，如果用类名静态调用非静态（普通）方法
比如：intro()
那么，这个$this是指哪个对象呢？？
因此会报错，因为找不到对象！
Fatal error: Using $this when not in object context in D:\application\PHPnow-1.5.6\htdocs\yan18\types\staticfun.php on line 23
*/
Human::intro();
/*
如上分析，其实，非静态方法，是不能由类名静态调用的，但目前，php中的面向对象检测不够严格，只要静态方法中没有$this关键字，就会转化成静态方法来处理！
*/
$li=new Human();
$li->eat();
/*
总结：
类》访问->静态方法(类的方法)->可以
类》访问->普通方法(对象的方法)->不可以(虽然方法里不用$this关键字时，可以！但不支持这种写法)
对象》访问》静态方法(类的方法)->可以
对象》访问》普通方法(对象的方法)->可以
*/
?>

4. php：static静态变量和普通变量的区别分析

区别：

在一个函数中，静态变量的值在程序执行离开时，其值不丢失，而普通变量会丢失。

举例：

<?php
/**
*普通变量示例
*/
functionnormal_var()
{
$normal_var=0;
var_mp($normal_var);
$normal_var++;
}

/**
*静态变量示例
*/
functionstatic_var()
{
static$static_var=0;
var_mp($static_var);
$static_var++;
}

normal_var();//输出0
normal_var();//还是输出0

static_var();//输出0
static_var();//会输出1

具体请参考php手册网页链接

5. 有什么Mac软件能够进行代码审查，静态分析吗

bitnami phabricator mac免费开源

bitnami phabricator主要是由php写的，而且是以website方式运行的，可以帮助开发人员改进工作流程并编写更好的软件！

6. 有哪些工具可以帮助debug或做静态分析

PyChecker 是一个静态分析工具，它不仅能报告源代码中的错误，并且会报告错误类型和复杂度。Pylint 是检验模块是否达到代码标准的另一个工具想要了解相关内容可以看黑马程序员的公开课。我看了很多公开课，凭良心说，黑马的是最有深度的，不至于白听一节理论。
并且他们的社区和视频库，都有很多很丰富的内容不管是小白还是进阶，都值得看看。官网对话框也可以直接领取课程大纲。

7. php中static 静态变量和普通变量的区别

全局变量(外部变量)的说明之前再冠以static 就构成了静态的全局变量。全局变量本身就是静态存储方式， 静态全局变量当然也是静态存储方式。 这两者在存储方式上并无不同。这两者的区别虽在于非静态全局变量的作用域是整个源程序， 当一个源程序由多个源文件组成时，非静态的全局变量在各个源文件中都是有效的。 而静态全局变量则限制了其作用域， 即只在定义该变量的源文件内有效， 在同一源程序的其它源文件中不能使用它。由于静态全局变量的作用域局限于一个源文件内，只能为该源文件内的函数公用， 因此可以避免在其它源文件中引起错误。 从以上分析可以看出， 把局部变量改变为静态变量后是改变了它的存储方式即改变了它的生存期。把全局变量改变为静态变量后是改变了它的作用域， 限制了它的使用范围。 static函数与普通函数作用域不同。仅在本文件。只在当前源文件中使用的函数应该说明为内部函数(static)，内部函数应该在当前源文件中说明和定义。对于可在当前源文件以外使用的函数，应该在一个头文件中说明，要使用这些函数的源文件要包含这个头文件 static全局变量与普通的全局变量有什么区别:static全局变量只初使化一次，防止在其他文件单元中被引用; static局部变量和普通局部变量有什么区别:static局部变量只被初始化一次，下一次依据上一次结果值; static函数与普通函数有什么区别:static函数在内存中只有一份，普通函数在每个被调用中维持一份拷贝

8. PHP Static延迟静态绑定用法分析

本文实例讲述了PHP
Static延迟静态绑定用法。分享给大家供大家参考，具体如下：
PHP5.3以后引入了延迟静态绑定static，它是为了解决什么问题呢？php的继承模型中有一个存在已久的问题，那就是在父类中引用扩展类的最终状态比较困难。来看一个例子。
class
A
{
public
static
function
echoClass(){
echo
__CLASS__;
}
public
static
function
test(){
self::echoClass();
}
}
class
B
extends
A
{
public
static
function
echoClass()
{
echo
__CLASS__;
}
}
B::test();
//输出A
在PHP5.3中加入了一个新特性：延迟静态绑定，就是把本来在定义阶段固定下来的表达式或变量，改在执行阶段才决定，比如当一个子类继承了父类的静态表达式的时候,它的值并不能被改变，有时不希望看到这种情况。
下面的例子解决了上面提出的问题：
class
A
{
public
static
function
echoClass(){
echo
__CLASS__;
}
public
static
function
test()
{
static::echoClass();
}
}
class
B
extends
A
{
public
static
function
echoClass(){
echo
__CLASS__;
}
}
B::test();
//输出B
第8行的static::echoClass();定义了一个静态延迟绑定方法，直到B调用test的时候才执行原本定义的时候执行的方法。
更多关于PHP相关内容感兴趣的读者可查看本站专题：《php操作office文档技巧总结(包括word,excel,access,ppt)》、《php日期与时间用法总结》、《php面向对象程序设计入门教程》、《php字符串(string)用法总结》、《php+mysql数据库操作入门教程》及《php常见数据库操作技巧汇总》
希望本文所述对大家PHP程序设计有所帮助。

9. 当前市面上的代码审计工具哪个比较好

第一类：Seay源代码审计系统
这是基于C#语言开发的一款针对PHP代码安全性审计的系统，主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞，基本上覆盖常见的PHP漏洞。在功能上，它支持一键审计、代码调试、函数定位、插件扩展、自定会规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。
第二类：Fortify SCA
Fortify
SCA是由惠普研发的一款商业软件产品，针对源代码进行专业的白盒安全审计。当然，它是收费的，而且这种商业软件一般都价格不菲。它有Windows、Linux、Unix以及Mac版本，通过内置的五大主要分析引擎对应用软件的源代码进行静态分析。
第三类：RIPS
RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外，它也是一款开源软件，由国外安全研究员开发，程序只有450KB，目前能下载到的最新版本是0.54，不过这款程序已经停止更新了。它最大的亮点在于调用了PHP内置解析器接口token_get_all，并且使用Parser做了语法分析，实现了跨文件的变量及函数追踪，扫描结果中非常直观地展示了漏洞形成及变量传递过程，误报率非常低。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞，文件多种样式的代码高亮。

10. pycharm编写php需要什么插件

下个30天试用版吧。我前两天下了一个，写了几十行代码。因为一直用IntelliJ IDEA写Clojure代码，所以用着还行。不过PyCharm目前没找到太大的亮点。 而且还有些小bug，比如静态分析的时候，有一个简单的小函数居然跟我说某局部变量未定义