1. 引言

面對(duì)復(fù)雜多變的運(yùn)行環(huán)境、不可預(yù)測的用戶輸入以及潛在的編程錯(cuò)誤，如何確保軟件在遭遇異常情況時(shí)依然能夠穩(wěn)定運(yùn)行，是每位開發(fā)者必須面對(duì)的挑戰(zhàn)。防御性編程（Defensive Programming）正是為解決這一問題而生的一種編程范式，它強(qiáng)調(diào)在編程過程中預(yù)見并防范潛在的錯(cuò)誤和異常情況，從而增強(qiáng)軟件的健壯性和穩(wěn)定性。作為一種細(xì)致、謹(jǐn)慎的編程方法，通過提前考慮并防范可能出現(xiàn)的錯(cuò)誤，從而有效減少軟件漏洞和故障。本文將詳細(xì)介紹防御性編程的基本概念、關(guān)鍵策略，并通過實(shí)際案例展示其在實(shí)際項(xiàng)目中的應(yīng)用。

2. 防御性編程的基本概念

防御性編程的核心思想在于承認(rèn)程序總會(huì)存在問題和需要修改，因此聰明的程序員會(huì)提前考慮并防范可能的錯(cuò)誤。它強(qiáng)調(diào)在編程過程中不僅要實(shí)現(xiàn)功能，還要確保程序在面對(duì)錯(cuò)誤輸入、異常情況和并發(fā)操作時(shí)能夠穩(wěn)定運(yùn)行。

3. 防御性編程的核心原則

3.1 風(fēng)險(xiǎn)識(shí)別

非系統(tǒng)性風(fēng)險(xiǎn)：只影特定場景下的響單次調(diào)用，不對(duì)系統(tǒng)整體穩(wěn)定性產(chǎn)生影響。比如空指針異常、數(shù)據(jù)越界等。

系統(tǒng)性風(fēng)險(xiǎn)：導(dǎo)致整個(gè)服務(wù)不可用的風(fēng)險(xiǎn)。比如 死循環(huán)，分頁查詢pageSize過大等。

3.2 防御原則

1.假設(shè)輸入總是錯(cuò)誤的：不依賴外部輸入的絕對(duì)正確性，對(duì)所有輸入進(jìn)行驗(yàn)證和清理。

2.最小化錯(cuò)誤的影響范圍：通過異常處理、錯(cuò)誤隔離等措施，限制錯(cuò)誤對(duì)系統(tǒng)整體的影響。

3.使用斷言進(jìn)行內(nèi)部檢查：在代碼的關(guān)鍵位置加入斷言，確保程序狀態(tài)符合預(yù)期。

4.代碼清晰易懂：編寫易于理解和維護(hù)的代碼，便于團(tuán)隊(duì)成員發(fā)現(xiàn)潛在問題。

5.持續(xù)測試：通過單元測試、集成測試等手段，不斷驗(yàn)證軟件的正確性和穩(wěn)定性。

4. 防御性編程案例

4.1 輸入驗(yàn)證與清理

場景

用戶輸入數(shù)據(jù)到Web表單中，系統(tǒng)需要處理這些數(shù)據(jù)以進(jìn)行后續(xù)操作。

防御性編程實(shí)踐

風(fēng)險(xiǎn)識(shí)別：系統(tǒng)性風(fēng)險(xiǎn)，可能導(dǎo)致系統(tǒng)整體不可用。

防御策略：

?驗(yàn)證數(shù)據(jù)類型：確保用戶輸入的數(shù)據(jù)類型符合預(yù)期（如數(shù)字、字符串、日期等）。如果類型不匹配，應(yīng)給出錯(cuò)誤提示并要求用戶重新輸入。

?長度和范圍檢查：對(duì)于字符串、數(shù)字等類型的數(shù)據(jù)，進(jìn)行長度和范圍檢查，確保它們不超過系統(tǒng)處理能力的限制。

?清理輸入數(shù)據(jù)：去除輸入數(shù)據(jù)中的非法字符或格式，如去除字符串兩端的空格、將特殊字符轉(zhuǎn)換為普通字符等。

分頁參數(shù)防御式編程案例

下面以分頁參數(shù)防御式編程為案例進(jìn)行舉例說明：

場景描述： 假設(shè)開發(fā)一個(gè)Web API，該API需要根據(jù)用戶請(qǐng)求返回特定數(shù)據(jù)的分頁結(jié)果。分頁請(qǐng)求包含以下參數(shù)：

?pageSize：每頁應(yīng)顯示的記錄數(shù)。

?pageNumber：用戶請(qǐng)求的當(dāng)前頁碼。

防御性編程措施：

1.驗(yàn)證pageSize：確保pageSize是一個(gè)正整數(shù)，并且不超過一個(gè)合理的最大值（例如100），以防止資源過度消耗。

2.驗(yàn)證pageNumber：確保pageNumber是一個(gè)正整數(shù)，并且不會(huì)請(qǐng)求到不存在的頁碼（即基于總記錄數(shù)和pageSize計(jì)算出的最大頁碼之后）。

3.處理無效參數(shù)：如果參數(shù)無效，則返回清晰的錯(cuò)誤消息，并可能設(shè)置一個(gè)默認(rèn)的頁碼或每頁記錄數(shù)。

4.計(jì)算總頁數(shù)：基于總記錄數(shù)和pageSize計(jì)算總頁數(shù)，以便在返回分頁信息時(shí)包含給用戶。

示例代碼（偽代碼）：

public class PaginationService {        
    private static final int MAX_PAGE_SIZE = 100;        
        /**       
         * 獲取分頁信息并進(jìn)行參數(shù)校驗(yàn)       
         *        
         * @param totalRecords 總記錄數(shù)       
         * @param pageSize 每頁記錄數(shù)       
         * @param pageNumber 當(dāng)前頁碼       
         * @return 分頁信息，包括總頁數(shù)、當(dāng)前頁碼等       
         */      
         public PaginationInfo getPaginationInfo(int totalRecords, int pageSize, int pageNumber) {          
             // 校驗(yàn)pageSize          
             if (pageSize <= 0 || pageSize > MAX_PAGE_SIZE) {              
                 throw new IllegalArgumentException("pageSize必須為正整數(shù)且不超過" + MAX_PAGE_SIZE);          
             }            
             // 校驗(yàn)pageNumber          
             if (pageNumber <= 0) {              
                 pageNumber = 1; // 默認(rèn)為第一頁          
             }            
             // 計(jì)算總頁數(shù)          
             int totalPages = (totalRecords + pageSize - 1) / pageSize;            
             // 確保pageNumber不超過總頁數(shù)          
             if (pageNumber > totalPages) {              
                 pageNumber = totalPages;          
             }            
             // 計(jì)算當(dāng)前頁的數(shù)據(jù)起始索引（可選，根據(jù)具體需求）          
             int startIndex = (pageNumber - 1) * pageSize;            
             // 返回分頁信息          
             return new PaginationInfo(totalPages, pageNumber, startIndex);      
         }        
         // PaginationInfo 是一個(gè)簡單的類，用于封裝分頁信息 
         ...

在這個(gè)例子中，getPaginationInfo 方法首先驗(yàn)證了 pageSize 和 pageNumber 參數(shù)的有效性，確保了它們符合預(yù)期的約束條件。如果參數(shù)無效，方法會(huì)拋出一個(gè) IllegalArgumentException 異常，這有助于調(diào)用者識(shí)別并處理錯(cuò)誤情況。然后，方法計(jì)算了總頁數(shù)，并根據(jù)需要調(diào)整了 pageNumber 以確保它不會(huì)超出范圍。最后，方法返回了一個(gè)包含分頁信息的 PaginationInfo 對(duì)象。

這種防御性編程策略有助于防止因無效的分頁參數(shù)而導(dǎo)致的程序錯(cuò)誤，提高了API的健壯性和用戶體驗(yàn)。

4.2 預(yù)防死循環(huán)

場景

在循環(huán)或者遍歷場景中，沒有明確的退出機(jī)制。

防御性編程實(shí)踐

風(fēng)險(xiǎn)識(shí)別：系統(tǒng)性風(fēng)險(xiǎn)，可能導(dǎo)致系統(tǒng)整體不可用。

防御策略：

?參數(shù)驗(yàn)證：檢查涉及循環(huán)步長的入?yún)⑹欠裼行А?/p>

?循環(huán)終止條件必達(dá)性確認(rèn)：在涉及條件校驗(yàn)的場景中，避免等值條件判斷，防止跳過循環(huán)終止點(diǎn)。

?日志記錄：在關(guān)鍵位置添加日志記錄，幫助調(diào)試和追蹤問題。

示例代碼（Java）：

/**  
 * 生成時(shí)間段。  
 *  
 * @param startMinutes 開始時(shí)間
 * @param endMinutes 結(jié)束時(shí)間
 * @param interval 時(shí)間段間隔
 * @param duration 時(shí)間的時(shí)長
 * @return 時(shí)間段列表 
 */  
public List generateList(int startMinutes, int endMinutes, int interval, int duration) {

    List result = new ArrayList();
    int nextStartTime = startMinutes;

    while (nextStartTime == endMinutes) {
        int currentStartMinutes = nextStartTime;
  
        int currentEndMinutes = currentStartMinutes + duration;

        result.add(currentStartMinutes + "-" + currentEndMinutes);
  
        nextBatchStartTime += interval;
    }
    return result;
}

針對(duì)以上代碼，我們可以添加一些防御式編程的元素來確保代碼的健壯性和可靠性。防御式編程側(cè)重于預(yù)防錯(cuò)誤的發(fā)生，包括輸入驗(yàn)證、錯(cuò)誤處理和邊界條件檢查。以下是修改后的代碼，包含了防御式編程的改進(jìn)：

/** 
 * 生成時(shí)間段。 
 * 
 * @param startMinutes 開始時(shí)間
 * @param endMinutes 結(jié)束時(shí)間
 * @param interval 時(shí)間段間隔
 * @param duration 時(shí)間的時(shí)長
 * @return 時(shí)間段列表 
 */ 
public List generateList(int startMinutes, int endMinutes, int interval, int duration) {
    // 改進(jìn)點(diǎn)1：校驗(yàn) interval，以保證循環(huán)中的步長能夠正向增長
    // 一般情況下，還需要對(duì)步長，和 endMinutes與startMinutes的區(qū)間大小做限制，避免生成“巨大”的列表。
    if (interval <= 0) {
        throw new IllegalArgumentException("Invalid parameters: interval must be positive integers.");
    }
    List result = new ArrayList();
    int nextStartTime = startMinutes;

    //改進(jìn)點(diǎn)2：避免使用等號(hào)做循環(huán)終止條件，以防跳過循環(huán)終止點(diǎn)。
    while (nextStartTime <= endMinutes) {
        int currentStartMinutes = nextStartTime;
  
        int currentEndMinutes = currentStartMinutes + duration;

        result.add(currentStartMinutes + "-" + currentEndMinutes);
  
        nextBatchStartTime += interval;
    }
    return result;
}

4.3 異常處理

場景

程序在讀取文件、進(jìn)行網(wǎng)絡(luò)請(qǐng)求或執(zhí)行其他可能失敗的操作時(shí)，需要處理潛在的異常。

防御性編程實(shí)踐

風(fēng)險(xiǎn)識(shí)別：非系統(tǒng)性風(fēng)險(xiǎn)，影響單次請(qǐng)求。

防御策略：

?使用try-except語句：將可能拋出異常的代碼塊放在try語句中，并在except語句中捕獲并處理這些異常。

?區(qū)分異常類型：根據(jù)實(shí)際需要捕獲特定的異常類型，或捕獲所有異常（使用Exception作為異常類型）。

?記錄錯(cuò)誤信息：在捕獲異常后，記錄詳細(xì)的錯(cuò)誤信息（如異常類型、錯(cuò)誤消息、堆棧跟蹤等），以便后續(xù)分析和調(diào)試。

示例代碼（Java）：

/**  
 * 讀取文件內(nèi)容。  
 *  
 * @param filePath 文件路徑  
 * @return 文件內(nèi)容，如果文件不存在或讀取失敗則返回null  
 */  
public static String readFile(String filePath) {  
    try {  
        byte[] encoded = Files.readAllBytes(Paths.get(filePath));  
        return new String(encoded);  
    } catch (FileNotFoundException e) {  
        log.info("文件未找到：" + filePath);  
        return null;  
    } catch (Exception e) {  
        log.info("讀取文件時(shí)發(fā)生錯(cuò)誤：" + e.getMessage());  
        return null;  
    }  
}  

4.4 邊界條件檢查

場景

在循環(huán)、條件判斷或數(shù)組訪問等操作中，需要確保不會(huì)超出預(yù)期的范圍或邊界。

防御性編程實(shí)踐

風(fēng)險(xiǎn)識(shí)別：非系統(tǒng)性風(fēng)險(xiǎn)，影響單次請(qǐng)求。

防御策略：

?檢查循環(huán)條件：確保循環(huán)條件在每次迭代后都能正確更新，以避免無限循環(huán)。

?數(shù)組和集合訪問：在訪問數(shù)組、列表、字典等集合的元素之前，檢查索引或鍵是否有效。

?邊界值測試：對(duì)函數(shù)或方法的輸入進(jìn)行邊界值測試，以確保它們?cè)谶吔鐥l件下也能正常工作。

示例代碼（Java）：

public class ArrayAccess {      
    public static void main(String[] args) {          
        int[] numbers = {1, 2, 3, 4, 5};          
        int index = getIndexFromUser(); // 假設(shè)這是從用戶那里獲取的索引                    
        if (index >= 0 && index < numbers.length) {              
            log.info(numbers[index]);          
        } else {              
            log.info("索引超出數(shù)組范圍");          
        }      
    }                 
    
    // 假設(shè)這個(gè)方法從用戶那里獲取索引值，并進(jìn)行基本的驗(yàn)證 
    private static int getIndexFromUser() {       
        // 為了示例，我們直接返回一個(gè)示例值          
        return 2; // 假設(shè)用戶輸入了有效的索引值2      
    }  
}

4.5 使用斷言進(jìn)行內(nèi)部檢查

場景

在代碼的關(guān)鍵路徑上，需要確保某些條件始終為真，否則程序?qū)o法正確執(zhí)行。

防御性編程實(shí)踐

?使用斷言：在代碼的關(guān)鍵位置添加斷言（如Python的assert語句），以驗(yàn)證程序狀態(tài)是否符合預(yù)期。如果斷言失敗，則拋出AssertionError異常。

?注意斷言的使用場景：斷言主要用于開發(fā)和測試階段，用于捕獲那些理論上不應(yīng)該發(fā)生的錯(cuò)誤。在生產(chǎn)環(huán)境中，應(yīng)該依賴更健壯的錯(cuò)誤處理機(jī)制。

示例代碼（Java）：

/**  
 * 計(jì)算年齡。  
 *  
 * @param birthYear 出生年份  
 * @return 年齡，如果輸入無效則返回-1。  
 */  
public static int calculateAge(int birthYear) {  
    // 輸入驗(yàn)證：確保出生年份是一個(gè)合理的值  
    if (birthYear <= 0 || birthYear > java.time.Year.now().getValue()) {  
        // 拋出IllegalArgumentException來指示方法接收到了非法參數(shù)  
        throw new IllegalArgumentException("出生年份必須是一個(gè)大于0且小于當(dāng)前年份的整數(shù)");  
    }  
  
    // 計(jì)算年齡  
    int currentYear = java.time.Year.now().getValue();  
    return currentYear - birthYear;  
}  
  
public static void main(String[] args) {  
    try {  
        // 假設(shè)我們從某個(gè)地方（如用戶輸入）獲取了出生年份  
        int birthYear = 1990; // 這里直接賦值作為示例  
  
        int age = calculateAge(birthYear);  
            if (age != -1) { // 注意：這個(gè)例子中calculateAge實(shí)際上不會(huì)返回-1，但為了展示如何處理可能的異常情況，我們可以這樣設(shè)計(jì)  
                log.info("年齡是：" + age);  
            }  
  
        } catch (IllegalArgumentException e) {  
            // 捕獲并處理IllegalArgumentException  
            log.info("錯(cuò)誤：" + e.getMessage());  
        }  
  
        // 如果需要從用戶輸入中獲取出生年份，你可以添加相應(yīng)的邏輯來處理字符串到整數(shù)的轉(zhuǎn)換和驗(yàn)證  
    }  
  
    // 注意：在這個(gè)例子中，我們沒有直接使用assert，因?yàn)镴ava的assert主要用于調(diào)試，且默認(rèn)是禁用的。  
    // 而是通過顯式的條件檢查和異常拋出來實(shí)現(xiàn)防御性編程。  

5. 防御式編程的挑戰(zhàn)

5.1 是不是防御式代碼越多越好呢？

No，過度的防御式編程會(huì)使程序會(huì)變得臃腫而緩慢，增加軟件的復(fù)雜度。

要考慮好什么地方需要進(jìn)行防御，然后因地制宜地調(diào)整進(jìn)行防御式編程的優(yōu)先級(jí)。

一般在入口處或者接入層做通用性防御性編程，比如數(shù)據(jù)準(zhǔn)入校驗(yàn)；但對(duì)于循環(huán)類邏輯，應(yīng)始終在使用處做細(xì)節(jié)性防御。

5.2 通用性防御措施 優(yōu)于 細(xì)節(jié)性的防御

例如對(duì)于網(wǎng)絡(luò)請(qǐng)求，一般是統(tǒng)一處理超時(shí)、鑒權(quán)、各種錯(cuò)誤code，而不是在業(yè)務(wù)層個(gè)別處理

5.3 根據(jù)使用場景，調(diào)整防御力度

如項(xiàng)目內(nèi)部使用的utils函數(shù)和公開發(fā)布的package，后者防御要求更高

6. 結(jié)論

防御性編程是一種積極主動(dòng)的編程策略，它要求開發(fā)者在編寫代碼時(shí)，不僅要關(guān)注功能的實(shí)現(xiàn)，更要關(guān)注代碼的健壯性和穩(wěn)定性。通過預(yù)見并防范潛在的錯(cuò)誤和異常情況，防御性編程能夠顯著提升軟件的質(zhì)量，減少因外部因素導(dǎo)致的程序崩潰，提升系統(tǒng)穩(wěn)定性。

文章中難免會(huì)有不足之處，希望讀者能給予寶貴的意見和建議。謝謝！

審核編輯 黃宇