【代码大全】笔记-“防御式编程”

最新推荐文章于 2025-09-20 16:31:07 发布

原创最新推荐文章于 2025-09-20 16:31:07 发布 · 1.5k 阅读

2 ·

CC 4.0 BY-SA版权

读书笔记专栏收录该内容

12 篇文章

订阅专栏

本文深入探讨防御式编程的核心理念，旨在确保程序即使在面对非法输入数据时也能保持稳健。文章详细介绍了防御策略，包括检查外部数据、参数验证、错误处理及断言使用，强调了在开发和维护阶段合理应用防御性代码的重要性。

文章目录

防御式编程
保护程序免遭非法输入数据的破坏
断言
错误处理技术
- 其他错误处理技术
辅助调试的代码
- 使用内置的预处理
- 使用调试存根
确定在产品代码中该保留多少防御式代码
- 保留防御性代码的建议
对防御式编程采取防御的姿态
总结

防御式编程

防御式编程的主要思想是：子程序应该不因传入错误的数据而被破坏，哪怕是由其他子程序产生的错误数据。更一般的说，
其核心思想是要承认程序都会有问题，都需要修改，聪明的程序员应该根据这一点来编程。
防御式编程是针对程序外部的保护

保护程序免遭非法输入数据的破坏

通常有三种方法来处理非法数据

检查所有来源的于外部数据的值
外部数据来源于文件，用户输入，网络或其他外部接口，应检查这些值是否在合法的范围之内。
检查子程序所有输入参数的值
子程序的参数可能是错误的，需要检查。例如

void get_process_type( uint8_t num)
{
	if((0 <= num ) && (num < MAX_NUM)) {
		......
	}
	
	.....
}

决定如何出入错误的输入数据
一旦监测到非法的参数，你该如何处理它？根据情况而定。

断言

断言实在开发期间使用的、让程序在运行时自检的代码
断言为真，则说明程序运行正常，断言为假，则说明程序发生错误。如

  RT_ASSERT(dev != RT_NULL);

断言对于大型负责程序或可靠性要求极高的程序而言非常有效，程序员可以通过断言快速定位程序中的关键错误。

断言可以检查的错误

输入参数或输出参数取值处于预期范围内
指针非空
传入子程序的数组或其他容器至少能容纳X个数据元素
仅用于输入的变量的值没有被子程序所修改
文件或流已用只读，只写或读写的方式打开

什么时候使用断言

主要用于开发和维护阶段
只在开发阶段被编译到目标代码中，而在生成产品代码时不编译到产品代码中。

断言和错误处理的使用状况

断言用来检查永远不应该发生的状况，用于检查代码中的bug，因此断言通常采用强制强制退出程序的方式。
错误处理，用来检查程序的程序的非正常状况，这些情况能在写代码时就预料到，比如从文件读取的汽车速度数据，应该在0-300Km/h范围内，超出了这个范围内被认为是数据出错。

错误处理技术

错误处理技术（Error-Handing-Techniques）用于处理那些能够预测的数据出错，常见的处理方法包括

返回中立值
处理错误数据最佳做法就是继续执行操作并简单地返回一个没有危害的数值。
比如，数值计算可以返回0、字符串操作可以返回空字符串，指针操作可以返回一个空指针。
换用下一个正确的数据（实时系统）
返回与前次相同的数据（数据处理）
换用最接近的合法数据（预先设置）

其他错误处理技术

错误信息记录到日志文件中
返回一个错误码
调用集中的错误处理子程序或对象
当错误发生时显示出错消息
最稳当的方式是在局部处理错误
关闭程序

辅助调试的代码

使用内置的预处理

对于辅助调试代码，并非在发布产品中做实质性的移出，而是采用条件编译的方式再最终程序中不生成这些代码。

要想编译时包含调试用的代码，使用#define 来定义DEBUG符号

要想将其排除在外，则不要定义DEBUG符号

#define DEBUG

#ifdef DEBUG
	//debug code 
#endif

使用调试存根

存根是一段代替有效程序的简单程序
开发存根：开发阶段检查指针的子程序

void check_pointer(void *p)
{
	//执行第1项检查：可能是检查它不为NULL
	//执行第2项检查：可能是检查它的地址是合法的
	//执行第3项检查：可能是检查它所指向的数据完好无损
	...
	//执行第n项检查：
	
}

产品存根：产品阶段检查指针的子程序
void check_pointer(void *p)
{
	//No code;just return to caller 
}