IDE
{ }
PHPStorm · Code Inspections · Qualitätssicherung · PHPStan
Code Inspections sinnvoll konfigurieren
statt Warnungsrauschen

Standardmäßig zeigt PHPStorm so viele Inspektions-Warnungen, dass Entwickler sie kollektiv ignorieren. Das ist kontraproduktiv: Warnungen verlieren ihre Signalwirkung und echte Probleme gehen im Rauschen unter. Die Lösung ist nicht weniger Qualitätssicherung, sondern klügere Konfiguration.

16 Min. Lesezeit Severity-Level · Inspektionsprofile · PHPStan · PHPCS · Team-Sharing PHPStorm 2024.x · PHP 8.x

Inhaltsverzeichnis

  1. 1. Das Warnungsrauschen-Problem und warum es entsteht
  2. 2. Severity-Level: Error, Warning, Weak Warning, Info
  3. 3. Inspektionsprofile erstellen und verwalten
  4. 4. Die wichtigsten PHP-Inspektionen und wie man sie kalibriert
  5. 5. PHPStan als externe Inspektion einbinden
  6. 6. PHPCS und PHP_CodeSniffer integrieren
  7. 7. Inspektionen gezielt unterdrücken ohne Regeln aufzuweichen
  8. 8. Inspektionsprofile im Team teilen
  9. 9. Inspektionsstrategie im direkten Vergleich
  10. 10. Zusammenfassung
  11. 11. FAQ

1. Das Warnungsrauschen-Problem und warum es entsteht

PHPStorm's Inspektions-Engine ist bei der Installation auf einem breiten Default-Profil konfiguriert, das für neue Projekte ohne bestehende Codebasis sinnvoll ist. Für gewachsene Projekte mit hunderten PHP-Dateien bedeutet das oft: tausende Warnungen von Styleguide-Kleinigkeiten bis zu echten Typfehlern, alle mit ähnlicher visueller Gewichtung. Der menschliche Geist adaptiert an Konstanz – ein Entwickler der täglich hundert Warnungen im Editor sieht, beginnt sie wie Hintergrundrauschen zu behandeln. Genau dann übersieht er die eine Warnung, die einen echten Laufzeitfehler ankündigt.

Das Problem ist nicht die Zahl der Regeln, sondern deren falsche Priorisierung. Eine Warnung, dass eine Variablenbezeichnung nicht den Naming-Conventions entspricht, hat eine völlig andere Kritikalität als eine Warnung, dass eine Methode einen nicht definierten Typ zurückgeben könnte. Wenn beide auf demselben Severity-Level erscheinen, verlieren sie gemeinsam ihre Signalwirkung. Die Konfigurationsarbeit besteht darin, diese Gewichtung herzustellen: kritische Probleme als Errors, stilistische Hinweise als Info oder abgeschaltet.

Ein weiterer Faktor: Viele Projekte haben Legacy-Code, dessen Warnungen nie behoben werden – sei es aus Zeitgründen oder weil der Code von Dritten stammt. Diese dauerhaften Warnungen maskieren neue Probleme, die beim nächsten Commit entstehen. Die Lösung ist eine Kombination aus richtiger Severity-Konfiguration, gezielter Suppression für Legacy-Ausnahmen und klarer Trennung zwischen Inspektionen die beim Entwickeln angezeigt werden und solchen die nur im CI-Lauf auftauchen.

2. Severity-Level: Error, Warning, Weak Warning, Info

PHPStorm kennt vier Severity-Level für Inspektionen, und die richtige Zuordnung ist das Herzstück einer nützlichen Konfiguration. Error (rote Unterwellung) sollte ausschließlich für Probleme reserviert sein, die garantiert zu einem Laufzeitfehler oder falschem Verhalten führen: undefinierte Klassen, nicht implementierte Interface-Methoden, falsche Parametertypen die PHP-Exceptions auslösen. Warning (gelbe Unterwellung) für wahrscheinliche Probleme: potenziell uninitialisierte Variablen, suspekte Typcoercions, veraltete API-Aufrufe.

Weak Warning (dezentere Unterwellung) ist der richtige Level für stilistische Empfehlungen die keine funktionalen Konsequenzen haben: fehlende Return-Type-Deklarationen bei PHP 8-Code, fehlende PHPDoc-Blöcke bei bestehenden Methoden. Info wird als sehr dezenter Hinweis angezeigt und eignet sich für Informationen die kein Handeln erfordern: mögliche Vereinfachungen, alternative API-Aufrufe. Inspektionen komplett auf No highlighting, only fix zu setzen macht sie im Editor unsichtbar, aber in Code > Inspect Code und CI still aktiv.


<?php
// PHPStorm inspection severity mapping example
// Error (red): guaranteed runtime problem
class OrderService implements OrderServiceInterface
{
    // Error: method declared in interface not implemented
    // public function getOrder(int $id): Order { }
}

// Warning (yellow): likely problem
function processItems(array $items): void
{
    foreach ($items as $item) {
        // Warning: $result might be uninitialized if loop is empty
        $result = $item->calculate();
    }
    // echo $result; // Warning: variable might not be defined
}

// Weak Warning (subtle): style suggestion, no functional impact
// Missing return type declaration in PHP 8 context
function formatPrice($price) // Weak Warning: add :string return type
{
    return number_format($price, 2, ',', '.');
}

// Info: informational, no action required
$array = array('a', 'b'); // Info: prefer short array syntax []

3. Inspektionsprofile erstellen und verwalten

Das Default-Inspektionsprofil von PHPStorm ist ein Startpunkt, kein Endpunkt. Für professionelle Projektarbeit erstellt man unter Settings > Editor > Inspections ein eigenes Profil. Der Ausgangspunkt ist das Default-Profil als Kopie: Oben links im Inspektions-Fenster auf das Zahnrad klicken und "Duplicate" wählen. Das neue Profil erhält einen Projektnamen und kann nun ohne Auswirkung auf andere Projekte angepasst werden. Der entscheidende Vorteil des projektspezifischen Profils: Es wird unter .idea/inspectionProfiles/ gespeichert und kann ins Git-Repository eingecheckt werden.

Die initiale Konfiguration eines neuen Projekts-Profils folgt einem einfachen Prinzip: Alle PHP-Inspektionen durchgehen und zwei Fragen stellen. Erstens: Führt ein Verstoß gegen diese Regel zu einem Laufzeitfehler oder falschen Verhalten? Wenn ja: Error. Wenn wahrscheinlich aber nicht garantiert: Warning. Zweitens: Ist ein Verstoß gegen diese Regel in der existierenden Codebasis weit verbreitet und nicht kurzfristig behebbar? Wenn ja: Severity reduzieren oder die Inspektion für bestimmte Pfade deaktivieren. Scope-Einschränkungen im Profil – zum Beispiel eine Inspektion nur für src/app/code/Mironsoft/ aktivieren, nicht für Vendor-Code – reduzieren Rauschen ohne Regeln abzuschalten.

4. Die wichtigsten PHP-Inspektionen und wie man sie kalibriert

Unter Settings > Editor > Inspections > PHP finden sich mehrere hundert Einzelregeln. Die folgenden Kategorien sind für die meisten PHP-Projekte besonders relevant und sollten explizit kalibriert werden. Die Gruppe General enthält grundlegende Fehlerprüfungen: "Undefined variable", "Undefined function" und "Undefined class" gehören auf Error-Level, da sie garantiert Laufzeitfehler erzeugen. "Return value of the function is not used" ist hingegen ein Kandidat für Info oder ganz deaktiviert – in vielen Projekten werden Rückgabewerte bewusst ignoriert.

Die Gruppe Type Compatibility ist besonders wichtig für PHP 8 Projekte mit strikten Typen. "Type mismatch" und "Cannot call non-static method statically" gehören auf Error. "Return type does not match declared" ist auf Warning zu setzen – er kann durch PHPDoc-Annotationen entstehen, die nicht mehr mit dem Code übereinstimmen, aber noch keine Laufzeitfehler erzeugen. Die Gruppe Code Style sollte in den meisten Fällen auf Weak Warning oder Info reduziert werden: Naming-Conventions, fehlende PHPDoc-Blöcke bei bestehenden Methoden, Redundanzen in Ausdrücken. Diese Regeln sind wertvoll als Hinweise, aber nicht als Interruptions im Entwicklungsflow.


<?php
// phpstorm.inspectionProfiles/Project_Default.xml — relevant excerpt
// Checked into .idea/inspectionProfiles/ for team sharing

/*
<profile version="1.0">
  <option name="myName" value="Project Default" />
  <inspection_tool class="PhpUndefinedVariableInspection" enabled="true" level="ERROR" />
  <inspection_tool class="PhpUndefinedClassInspection" enabled="true" level="ERROR" />
  <inspection_tool class="PhpReturnDocTypeMismatchInspection" enabled="true" level="WARNING" />
  <inspection_tool class="PhpUnusedPrivateFieldInspection" enabled="true" level="WARNING" />
  <!-- Reduce noise: style rules as Info, not Warning -->
  <inspection_tool class="PhpMissingDocCommentInspection" enabled="true" level="WEAK WARNING" />
  <inspection_tool class="PhpRedundantDocCommentInspection" enabled="false" />
  <inspection_tool class="PhpArrayIsAlwaysEmptyInspection" enabled="true" level="WARNING" />
  <!-- Disable for vendor paths via scope -->
  <inspection_tool class="PhpDeprecationInspection" enabled="true" level="WARNING">
    <scope name="Project Production Files" level="WARNING" enabled="true" />
  </inspection_tool>
</profile>
*/

// Suppress single inspection with annotation — use sparingly
/** @noinspection PhpUnusedLocalVariableInspection */
$unusedVar = getExpensiveSideEffect(); // suppressed only here

5. PHPStan als externe Inspektion einbinden

PHPStan ist der mächtigste statische Analyzer für PHP und übertrifft PHPStorm's eigene Typprüfung in vielen Bereichen. Die Integration in PHPStorm erfolgt über Settings > PHP > Quality Tools > PHPStan: den Pfad zur PHPStan-Binary (./vendor/bin/phpstan) und die Konfigurationsdatei (phpstan.neon) eintragen. Danach erscheinen PHPStan-Fehler direkt im Editor – dieselben Fehler, die auch im CI-Lauf auftauchen, aber jetzt beim ersten Tippen. Der entscheidende Vorteil: Entwickler sehen PHPStan-Fehler bevor sie commiten, nicht erst wenn die Pipeline rot wird.

Die Konfiguration der PHPStan-Level in der IDE sollte idealerweise denselben Level wie im CI-System verwenden. Wenn der CI-Lauf auf Level 6 läuft, aber die IDE auf Level 4 konfiguriert ist, entstehen Fehler die lokal nicht sichtbar waren. Das frustriert und führt dazu, dass Entwickler die IDE-Integration abschalten. Konsistenz zwischen IDE und CI ist hier entscheidender als die absolute Regelstrenge. Für bestehende Projekte mit Legacy-Code: PHPStan-Baseline-Datei nutzen (phpstan analyse --generate-baseline phpstan-baseline.neon), die bestehende Fehler ausblendet und nur neue Fehler anzeigt.

6. PHPCS und PHP_CodeSniffer integrieren

PHP_CodeSniffer prüft Code-Stil-Konventionen – Einrückung, Zeilenlänge, Namenskonventionen, PSR-Standards. Die Integration in PHPStorm unter Settings > PHP > Quality Tools > PHP_CodeSniffer funktioniert analog zu PHPStan. PHPCS-Fehler erscheinen als Inspektions-Warnungen im Editor. Der wichtige Unterschied zu PHPStan: PHPCS findet fast ausschließlich stilistische Probleme, keine logischen Fehler. Alle PHPCS-Warnungen sollten deshalb auf Information- oder Weak-Warning-Level erscheinen, nicht auf Error oder Warning.

Für Magento 2 Projekte gibt es den magento-coding-standard Ruleset, der PSR-2 mit Magento-spezifischen Erweiterungen kombiniert. Dieser sollte in phpcs.xml konfiguriert und in PHPStorm eingebunden werden, damit die IDE-Warnungen exakt denselben Regeln entsprechen wie die CI-Pipeline. Wenn ein Entwickler lokal sieht dass sein Code PHPCS-konform ist, muss er sicher sein können dass der CI-Lauf dasselbe sagt. Abweichungen zwischen IDE- und CI-Konfiguration sind eine häufige Quelle von Frustration und Pipeline-Fehlern.


<?php
// phpcs.xml — project root, consumed by both PHPCS CLI and PHPStorm
/*
<?xml version="1.0"?>
<ruleset name="Mironsoft">
    <description>Mironsoft Magento 2 Coding Standard</description>
    <rule ref="Magento2" />
    <!-- Override: allow longer lines in templates -->
    <rule ref="Generic.Files.LineLength">
        <properties>
            <property name="lineLimit" value="120" />
            <property name="absoluteLineLimit" value="0" />
        </properties>
    </rule>
    <!-- Exclude paths -->
    <exclude-pattern>*/vendor/*</exclude-pattern>
    <exclude-pattern>*/Test/*</exclude-pattern>
    <!-- Include only project modules -->
    <file>src/app/code/Mironsoft</file>
</ruleset>
*/

// PHPStorm: Settings > PHP > Quality Tools > PHP_CodeSniffer
// Coding standard: Custom, path to phpcs.xml
// Run on save: enable for immediate feedback

// PHPCBF auto-fix — run from PHPStorm terminal or as External Tool
// bin/phpcbf src/app/code/Mironsoft --standard=phpcs.xml

7. Inspektionen gezielt unterdrücken ohne Regeln aufzuweichen

Es gibt legitime Szenarien, in denen eine Inspektion für eine spezifische Stelle im Code unterdrückt werden muss – zum Beispiel dynamische Aufrufe die PHPStorm nicht auflösen kann, aber die zur Laufzeit korrekt sind. PHPStorm akzeptiert den /** @noinspection InspectionName */-Kommentar direkt vor der betreffenden Zeile oder Methode. Wichtig: Der Kommentar sollte immer einen kurzen Erklärungskommentar enthalten, warum die Unterdrückung legitimate ist.

Der entscheidende Unterschied zwischen gezielter Suppression und dem Abschalten von Regeln auf Profil-Ebene: Suppression mit @noinspection ist sichtbar im Code und greift nur an einer Stelle. Wenn derselbe Kommentar an zehn Stellen auftaucht, ist das ein Signal, die Inspektion insgesamt zu überdenken oder anders zu konfigurieren. Das Abschalten auf Profil-Ebene hingegen ist unsichtbar im Code und betrifft das gesamte Projekt. Scope-basierte Deaktivierung – eine Inspektion nur für den Vendor-Pfad ausschalten – ist der Mittelweg der empfohlen wird: unsichtbar für Code, aber explizit im Profil dokumentiert.

Inspektionstyp Empfohlenes Level Beispiel Begründung
Undefinierte Klasse/Methode Error Undefined class, Method not found Garantierter Laufzeitfehler
Typ-Inkonsistenz Warning Return type mismatch, Type coercion Wahrscheinlicher Fehler
Fehlende Typ-Deklaration Weak Warning Missing return type, Untyped parameter Stil, kein Laufzeitfehler
Code Style Info / Off Naming conventions, Short syntax Kein funktionaler Effekt
Veraltete API Warning (Project), Off (Vendor) @deprecated Aufruf Handlungsbedarf nur im eigenen Code

8. Inspektionsprofile im Team teilen

Das Inspektionsprofil unter .idea/inspectionProfiles/Project_Default.xml wird von PHPStorm automatisch genutzt, wenn es im Projektverzeichnis gefunden wird. Dieser Pfad gehört ins Git-Repository. Nach einem git pull gilt für jeden Entwickler dasselbe Inspektionsprofil, ohne manuelle Schritte. Wenn ein neuer Fehlertyp als Error eingestuft wird, ist das ab dem nächsten Pull für alle sichtbar. Das ist der entscheidende Vorteil gegenüber einer README-Anleitung, die erklärt wie man Inspektionen manuell konfiguriert.

Eine sinnvolle Ergänzung zum geteilten Profil ist eine Inspections.md-Datei im Repository, die erklärt warum bestimmte Inspektionen auf einem bestimmten Level eingestellt sind. Diese Dokumentation ist nicht für PHPStorm – die IDE braucht sie nicht –, sondern für Entwickler, die das Profil anpassen wollen und verstehen müssen warum eine Regel bewusst auf Info-Level gesetzt wurde. Ohne diese Dokumentation werden Anpassungen schnell zu einem Trial-and-Error-Prozess.

9. Inspektionsstrategie im direkten Vergleich

Die Wahl der Inspektionsstrategie hat direkte Auswirkungen auf die Teamproduktivität und die Code-Qualität. Zwei Extreme – alles aktiviert auf maximalem Level, oder alles deaktiviert – sind beide kontraproduktiv. Die optimale Strategie liegt in der gezielten Kalibrierung.

Mironsoft

Code-Qualitätssicherung, PHPStan-Integration und PHPStorm-Konfiguration

Code-Qualität ohne Warnungsrauschen etablieren?

Wir konfigurieren PHPStorm-Inspektionsprofile, integrieren PHPStan und PHPCS und richten Team-Konfigurationen ein, die echte Probleme sofort sichtbar machen.

Inspektion-Audit

Bestehende Konfiguration analysieren, Rauschen identifizieren, Severity-Level kalibrieren

Tool-Integration

PHPStan und PHPCS in PHPStorm und CI-Pipeline mit identischer Konfiguration einbinden

Team-Profil

Geteiltes Inspektionsprofil im Repository einrichten und dokumentieren

Kostenloses Erstgespräch Code-Qualität anfragen

10. Zusammenfassung

PHPStorm Code Inspections werden zum echten Qualitätswerkzeug, wenn die Severity-Level die tatsächliche Kritikalität widerspiegeln. Error für garantierte Laufzeitfehler, Warning für wahrscheinliche Probleme, Weak Warning für Stilempfehlungen, Info für optionale Hinweise. Alles andere erzeugt Warnungsrauschen das die Signalwirkung echter Fehler zerstört. PHPStan als externe Inspektion bringt tiefere Typanalyse in den Editor – mit denselben Regeln wie im CI-System, damit Entwickler Fehler vor dem Commit sehen.

Das geteilte Inspektionsprofil unter .idea/inspectionProfiles/ im Git-Repository ist die einfachste Maßnahme für konsistente Qualitätsstandards im Team. Wenn alle Entwickler dieselben Inspektionsregeln auf denselben Severity-Leveln sehen, entsteht eine gemeinsame Qualitäts-Baseline die sich automatisch aktualisiert wenn das Profil angepasst wird. Das ist effizienter als Code-Review-Kommentare über Stilprobleme, die die IDE bereits markiert hätte – wenn sie richtig konfiguriert gewesen wäre.

Code Inspections konfigurieren — Das Wichtigste auf einen Blick

Severity-Kalibrierung

Error nur für garantierte Laufzeitfehler. Warning für wahrscheinliche Probleme. Weak Warning für Stil. Info für optionale Hinweise.

PHPStan-Integration

Settings > PHP > Quality Tools > PHPStan. Denselben Level wie im CI verwenden. Baseline für Legacy-Code nutzen.

Team-Sharing

.idea/inspectionProfiles/Project_Default.xml ins Git-Repository einchecken. Für alle Entwickler gilt dann dasselbe Profil automatisch.

Suppression

@noinspection nur bei legitimen Ausnahmen, immer mit Begründungskommentar. Scope-basierte Deaktivierung für Vendor-Code bevorzugen.

11. FAQ: Code Inspections sinnvoll konfigurieren

1Eigenes Inspektionsprofil erstellen?
Settings > Editor > Inspections, Zahnrad > Duplicate. Profil in .idea/inspectionProfiles/ speichern und ins Git-Repository einchecken.
2Warum PHPStan zusätzlich zu PHPStorm?
PHPStan analysiert tiefere Typen, Generics und Conditional Returns. IDE-Integration zeigt Fehler beim Tippen, vor dem CI-Lauf.
3Einzelne Inspektion unterdrücken?
/** @noinspection InspectionName */ vor der Zeile oder Methode. Immer Erklärungskommentar hinzufügen. Nicht global abschalten.
4PHPCS in PHPStorm konfigurieren?
Settings > PHP > Quality Tools > PHP_CodeSniffer. Binary-Pfad und phpcs.xml angeben. Verstöße erscheinen dann als IDE-Warnungen.
5Deaktiviert vs. 'No highlighting'?
No highlighting: im Editor unsichtbar, aber in Inspect Code und CI aktiv. Komplett deaktiviert: wird nirgends ausgeführt. Stilregeln auf No highlighting bevorzugen.
6IDE und CI mit denselben Regeln?
PHPStan und PHPCS in IDE und CI mit derselben phpstan.neon und phpcs.xml konfigurieren. Denselben PHPStan-Level in beiden Kontexten nutzen.
7Inspektionen für Verzeichnisse deaktivieren?
Ja, über Scope-Einschränkungen im Profil. Inspektion nur für Projektcode aktiv, nicht für vendor/ – reduziert Rauschen ohne globale Deaktivierung.
8Was ist eine PHPStan-Baseline?
Datei mit allen aktuell existierenden Fehlern, die ignoriert werden. Neue Fehler werden gemeldet, bestehende toleriert. Ideal für Legacy-Projekte.
9Wie viele Warnungen sind akzeptabel?
Keine Error-Markierungen in problemfreien Dateien. Mehr als 3–5 Weak Warnings in einer neuen Datei ist ein Signal, das Profil zu überprüfen.
10Profil beim Öffnen automatisch geladen?
Ja, wenn .idea/inspectionProfiles/Project_Default.xml im Repository liegt. PHPStorm lädt es automatisch – keine manuellen Schritte für Teammitglieder.