词条 | 防御式编程 |
释义 | 防御式编程是提高软件质量技术的有益辅助手段。防御式编程的主要思想是:子程序应该不因传入错误数据而被破坏,哪怕是由其他子程序产生的错误数据。这种思想是将可能出现的错误造成的影响控制在有限的范围内。 1. 在非法输入(Invalid Inputs)中保护你的程序 一个好程序,在非法输入的情况下,要么什么都不输出,要么输出错误信息。有几种方法来防止非法的输入: (1)检查来自于外部资源(external sources)的所有数据的值,例如来源于网络的数据的值,来源于文件的数据的值。检查的目的是保证数据值在一个允许的范围内。 (2)检查每一个例程(routine)的输入参数值。 一旦非法输入被发现,那么应该根据情况进行处理。防御式编程的最佳的形式是在一开始就不引入错误。 2. 断言(Assertions) 一个断言通常是一个例程(routines)或者一个宏(marcos)。每个断言通常含有两个参数:一个布尔表示式(a boolean expression)和一个消息(a message)。一个布尔表达式的反面表示了一个错误。C 标准库提供了一个 assert 宏,它只带有一个参数,用法如下: assert(1 == 0); // 注意 boolean expression 不要加引号 使用 assert 宏,需要包含头文件 cassert 或者 assert.h,执行上面语句的结果是程序终止运行,输出与下面消息类似的消息: Assertion failed: 1 == 0, file d:\\我的文档\\visual studio projects\\learning\\assert\\assert.cpp, line 9 通常来说,我们会定义自己的 assert 宏,其目的有两个: (1)新增参数,例如新增一个消息参数,使得 assert 宏输出更为丰富的信息。 (2)改变 assert 的行为内容。C 标准库中的 assert 宏将中断程序,实际上,我们可以让程序继续运行而不中断或者进入调试状态等,另外还可以控制消息输出的目标,即控制消息是输出到控制台还是文本文件,甚至是通过网络发出。 下面是一个 C++ 实现的断言: #ifdef _DEBUG #define Assert(exp, message) \\ { \\ if (!(exp)) \\ { \\ std::cout << "Assertion failed: " << #exp << "\" \\ << "Message: " << message << "\" \\ << "line: " << __LINE__ << "\" \\ << "file: " << __FILE__ << "\"; \\ exit(EXIT_FAILURE); \\ } \\ } #else #define Assert(exp, message) #endif 执行 Assert(1 == 0, "Error"); 结果为: Assertion failed: 1 == 0 Message: Error line: 24 file: d:\\我的文档\\visual studio projects\\learning\\assert\\assert.cpp 使用断言应该注意一下的几个问题: 1)对非预期错误使用断言 断言中的布尔表达式的反面一定要描述一个非预期错误,下面所述的在一定情况下为非预期错误的一些例子: (1)空指针。 (2)输入或者输出参数的值不在预期范围内。 (3)数组的越界。 非预期错误对应的就是预期错误,我们通常使用错误处理代码来处理预期错误,而使用断言处理非预期错误。在代码执行过程中,有些错误永远不应该发生,这样的错误是非预期错误。断言可以被看成是一种可执行的注释,你不能依赖它来让代码正常工作(《Code Complete 2》)。例如: int nRes = f(); // nRes 由 f 函数控制, f 函数保证返回值一定在 -100 ~ 100 Assert(-100 <= nRes && nRes <= 100); // 断言,一个可执行的注释 由于 f 函数保证了返回值处于 -100 ~ 100,那么如果出现了 nRes 不在这个范围的值时,就表明一个非预期错误的出现。后面会讲到“隔栏”,那时会对断言有更加深刻的理解。 2)不要把需要执行的代码放入断言中 断言用于软件的开发和维护,而通常不在发行版本中包含断言。 需要执行的代码放入断言中是不正确的,因为在发行版本中,这些代码通常不会被执行,例如: Assert(f()); // f 函数通常在发行版本中不会被执行 而使用如下方法则比较安全: res = f(); Assert(res); // 安全 3)对来源于内部系统的可靠的数据使用断言,而不要对外部不可靠的数据使用断言,对于外部不可靠数据,应该使用错误处理代码。再次强调,把断言看成可执行的注释。 前条件(preconditions)和后条件(postconditions) 前条件是调用方代码在调用例程(routines)或者实例化对象之前要确保为真的条件,后条件是例程执行后或者类实例化后应满足的条件。下面是一个例子: // 前条件,这里 nNum1 和 nNum2 的取值被前面代码所约束并保证取值在 -50 ~ 50 Assert(-50 <= nNum1 && nNum1 <= 50, "Add_nNum1"); Assert(-50 <= nNum2 && nNum2 <= 50, "Add_nNum2"); int nRes = add(nNum1, nNum2); // 后条件 Assert(-100 <= nRes && nRes <= 100, "Add_nRes"); 注意,由于 nNum1 和 nNum2 取值范围已经被约束,因此可以使用断言,但是如果 nNum1 和 nNum2 的值来源于不可靠的外部系统,那么应该使用错误处理代码,而不是使用断言。 3. 错误处理技术 这里主要讲述如何处理预期错误。 (1)终止程序运行 有些错误非常严重,如果出现,那么最好就的做法就是让程序终止并且让用户重启程序。例如,对于显示 X 光片的绘图程序,如果数据出错,那么就关闭程序,这个时候关闭程序要远远好于显示错误的数据。 (2)继续程序运行 有时候,错误出现了,但是没有必要去关闭程序,那么就有两种处理方案: a. 在例程中处理错误 例如让例程返回一个中立值,这是一种可行的方法,中立值在有些语言里面被描述为“类型的默认值”,例如整形的中立值为 0,指针的中立值为 NULL(或 null 等) b. 在例程外处理错误 返回一个错误码也是可行的,返回错误码意味着,错误将交由其他程序部分来处理,而不是本例程处理。 对于出现了错误,而没有终止程序的运行,这时候,你可以在日志文件中添加一个警告信息。 抉择:正确性和健壮性 有些程序要求非常高的正确性,而有些程序要求较高的健壮性,通常两者我们只能取其一。 (1)正确性意味着结果永远是正确的,如果出错,宁愿不给出结果也不要给定一个不准确的值。 (2)健壮性意味着通过一些措施,保证软件能够正常运行下去,即使有时候会有一些不准确的值出现。 4. 隔栏(barricades) 隔栏本身就是一组错误处理代码,对于内部类只需要使用断言而无需使用错误处理代码。当断言为假时,表明了问题出在了程序中而不是数据中,需要通过修改代码来消除问题。在此,请读者联系本文开始 --- “在非法输入(Invalid Inputs)中保护你的程序”这一部分进行思考。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。