《代码大全2》读书笔记 Week4

《代码大全2》第8章：防御式编程

防御式编程的主要思想是子程序应该不因为非法的输入值被破坏，就好比开车时的防御式驾驶：你无法预估其他司机将会做什么，但你要采取措施保证当他人做出危险动作时自己不受伤害。防御式编程的核心其实是承认程序始终存在问题，需要不断地被完善。

保护应用程序不受外部错误输入破坏的主要思路有三种：检查所有来源于外部的程序的值，检查子程序所有输入参数的值、决定如何处理错误的输入数据。然而防御式编码的最佳方式是一开始就不要在源码中引入错误，使用迭代式设计、写代码前先写测试用例等等，都有助于防止引入错误。

以下根据书中内容简要介绍防御式编程应用到的主要方法：

1.断言（assertion）: 目前大部分的面向对象编程语言都支持断言操作。断言对于大型的复杂程序和或对可靠性要求极高的程序极其有用，可以帮助程序员快速地排查出程序里不匹配的接口和错误等。一般来说，应该用断言来注解并验证前条件和后条件，避免把需要执行的代码放到断言中；用错误处理代码来处理预期会出现的的状况，用断言来处理绝不应该发生的状况；对于复杂、生命周期很长、需要高健壮性的程序，应该先使用断言再处理错误。

2.错误处理技术：针对不同的情景，作者介绍了以下错误处理技术：返回中立值（没有危害的数值）、换用下一个正确数据、返回与前次相同的数据、换用最接近的合法值、把警告信息记录到日志文件中、返回一个错误码、调用错误处理子程序或对象、显示出错信息、关闭程序等等。需要注意的是，以上这些错误都不是通用额。开发人员需要根据实际需求，具体来说健壮性和正确性哪个更迫切以及高层次设计的决策等等，来挑选合适额错误处理操作。

3.异常：作者提醒读者不可以过度依赖异常，由于如何安全使用异常的传统和经验相对较少，所以作者建议程序员多考虑一下异常的替换方案。异常和断言类似，都是用来处理真正例外的情况，不能用异常来推卸可以在处理局部错误的责任。另外，使用异常时应注意：避免在构造函数中抛出异常、在适当的抽象层次抛出异常、把项目中对异常的使用标准化等等。

4.隔栏barricade）：隔栏是一种容损策略，和防火墙的原理类似，即把某些接口选为“安全区域”的边界，对于穿越安全区域边界的数据进行合法性校验，但数据非法时快速反应。隔栏的思想使得错误处理和断言有了更为清晰的区分，隔栏外部区域应该被假定为不安全的，故使用错误处理技术；隔栏内部应该使用断言，因为既然进入隔栏内部的数据已经是被清理过的，那错误肯定是存在于程序中若不是由外部输入所导致的。

5.辅助调试代码：开发人员不必把产品版的限制强加在开发版上，开发期间在速度和资源上做出一点牺牲，添加辅助调试代码，实际上是大有裨益的；甚至可以使用进攻式编程，在开发阶段把可能出现的错误都挖掘出来并进行处理。当然，程序开发人员还需要在移除辅助调试代码上做好计划，用版本控制工具来管理开发版和产品版，还可以尝试编写自己的预处理器、使用调试存根等等。

当然，物极必反，过度的防御式编程也会引起问题，包括增加程序的复杂度、在添加防御代码时引入新的错误，因此，开发人员应该做好对防御的需求有清晰的认识，因地制宜地调整进行防御式编程的优先级。在产品代码中保留多少防御代码，也是需要认真思考的。