《代码大全2》第8章:防御式编程
防御式编程的主要思想是子程序应该不因为非法的输入值被破坏,就好比开车时的防御式驾驶:你无法预估其他司机将会做什么,但你要采取措施保证当他人做出危险动作时自己不受伤害。防御式编程的核心其实是承认程序始终存在问题,需要不断地被完善。
保护应用程序不受外部错误输入破坏的主要思路有三种:检查所有来源于外部的程序的值,检查子程序所有输入参数的值、决定如何处理错误的输入数据。然而防御式编码的最佳方式是一开始就不要在源码中引入错误,使用迭代式设计、写代码前先写测试用例等等,都有助于防止引入错误。
以下根据书中内容简要介绍防御式编程应用到的主要方法:
1.断言(assertion): 目前大部分的面向对象编程语言都支持断言操作。断言对于大型的复杂程序和或对可靠性要求极高的程序极其有用,可以帮助程序员快速地排查出程序里不匹配的接口和错误等。一般来说,应该用断言来注解并验证前条件和后条件,避免把需要执行的代码放到断言中;用错误处理代码来处理预期会出现的的状况,用断言来处理绝不应该发生的状况;对于复杂、生命周期很长、需要高健壮性的程序,应该先使用断言再处理错误。
2.错误处理技术:针对不同的情景,作者介绍了以下错误处理技术:返回中立值(没有危害的数值)、换用下一个正确数据、返回与前次相同的数据、换用最接近的合法值、把警告信息记录到日志文件中、返回一个错误码、调用错误处理子程序或对象、显示出错信息、关闭程序等等。需要注意的是,以上这些错误都不是通用额。开发人员需要根据实际需求,具体来说健壮性和正确性哪个更迫切以及高层次设计的决策等等,来挑选合适额错误处理操作。
3.异常:作者提醒读者不可以过度依赖异常,由于如何安全使用异常的传统和经验相对较少,所以作者建议程序员多考虑一下异常的替换方案。异常和断言类似,都是用来处理真正例外的情况,不能用异常来推卸可以在处理局部错误的责任。另外,使用异常时应注意:避免在构造函数中抛出异常、在适当的抽象层次抛出异常、把项目中对异常的使用标准化等等。
4.隔栏barricade):隔栏是一种容损策略,和防火墙的原理类似,即把某些接口选为“安全区域”的边界,对于穿越安全区域边界的数据进行合法性校验,但数据非法时快速反应。隔栏的思想使得错误处理和断言有了更为清晰的区分,隔栏外部区域应该被假定为不安全的,故使用错误处理技术;隔栏内部应该使用断言,因为既然进入隔栏内部的数据已经是被清理过的,那错误肯定是存在于程序中若不是由外部输入所导致的。
5.辅助调试代码:开发人员不必把产品版的限制强加在开发版上,开发期间在速度和资源上做出一点牺牲,添加辅助调试代码,实际上是大有裨益的;甚至可以使用进攻式编程,在开发阶段把可能出现的错误都挖掘出来并进行处理。当然,程序开发人员还需要在移除辅助调试代码上做好计划,用版本控制工具来管理开发版和产品版,还可以尝试编写自己的预处理器、使用调试存根等等。
当然,物极必反,过度的防御式编程也会引起问题,包括增加程序的复杂度、在添加防御代码时引入新的错误,因此,开发人员应该做好对防御的需求有清晰的认识,因地制宜地调整进行防御式编程的优先级。在产品代码中保留多少防御代码,也是需要认真思考的。
