請問 PHP 有像 Java、C# 一樣的反射(Reflection) 嗎?

php 源碼安全檢測工具 checkmarx moodletw

Jam.liu 2018-10-30 10:54:06 ‧ 1983 瀏覽

分享至

昨天跟同學在討論, checkmarx 掃 PHP 的誤判問題, 聊到 PHP 的 security code analytics, 我們公司一致認為 checkmarx 的誤判應該是它用字串比對而已, 没有用到反射去追到正確的程式碼。
本來以為 PHP 沒有反射, 後來 google 一下, PHP 也有, 它跟 Java/C# 的 Reflection 是一樣的嗎?

Java 的反射:
https://github.com/JustinSDK/JavaSE6Tutorial/blob/master/docs/CH16.md

PHP 的反射:
http://php.net/manual/en/book.reflection.php
PHP 5 comes with a complete reflection API that adds the ability to reverse-engineer classes, interfaces, functions, methods and extensions. Additionally, the reflection API offers ways to retrieve doc comments for functions, classes and methods.

謝謝.

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

跟著鄉民看熱鬧

iT邦高手 1 級 ‧ 2018-10-30 17:14:13

基本上反射的作法都是大同小異，沒有太大區別

回應
分享
檢舉

登入發表回應

kninoa

iT邦新手 5 級 ‧ 2018-11-05 15:41:07

我們也覺得 checkmarx 掃瞄PHP原碼有誤判情形，不僅需自行舉證說明，也增加RD人員在處理上的困擾。

回應 1
分享
檢舉

elaine107 iT邦新手 5 級 ‧ 2018-12-17 11:32:47 檢舉

原碼掃描軟體一般人很難去瞭解它的規格，對於資安單位來說就只是多一道檢查，可以跟上級證明平台無資安問題；對於工程師來說好聽的是協助檢視自己的程式有無漏洞。
而一個軟體得過多少獎項、支援無數的程式語言，可是一旦被檢測的工程師發現連追蹤路徑都可以查錯的狀況下，要如何相信掃描的結果，怎麼可以說它支援這個程式語言呢??
說句不好聽的都只是在幫它除錯而已吧～~～

登入發表回應