Pagina 1 di 1
PHPStan a livello 9 su un Laravel legacy da 80.000 righe ha fatto emergere 340 errori di tipo, di cui 12 erano vulnerabilità reali (due SQL injection, una path traversal, diverse type juggling). Il rapporto costo/beneficio è imbattibile: una settimana per introdurlo, mesi di bug e potenziali incidenti evitati.
In questa categoria scrivo di PHPStan in progetti reali: introduzione graduale con baseline per non bloccare il team, salita progressiva dai livelli 5-6 al livello 9, configurazione dei pacchetti specifici per Laravel/Symfony, generic types e narrowing per ridurre i falsi positivi, integrazione GitHub Actions con annotazioni PR.
Se vuoi introdurre PHPStan sul tuo codebase PHP senza paralizzare il team, parliamone. Oppure scopri il mio approccio.
Dopo aver introdotto PHPStan a livello 9 su un progetto Laravel legacy con 80.000 righe di codice, ho trovato 340 errori di tipo - di cui 12 erano vulnerabilità di sicurezza reali, tra cui due SQL injection potenziali e una IDOR. L'analisi statica non sostituisce il pen test, ma lo rende più efficiente. Continua a leggere
