防御式编程（二）

 

防御式编程

　　防御式编程是提高软件质量技术的有益辅助手段。防御式编程的主要思想是：子程序应该不因传入错误数据而被破坏，哪怕是由其他子程序产生的错误数据。这种思想是将可能出现的错误造成的影响控制在有限的范围内。

　　1. 在非法输入（Invalid Inputs）中保护你的程序

　　一个好程序，在非法输入的情况下，要么什么都不输出，要么输出错误信息。有几种方法来防止非法的输入：

　　（1）检查来自于外部资源（external sources）的所有数据的值，例如来源于网络的数据的值，来源于文件的数据的值。检查的目的是保证数据值在一个允许的范围内。

　　（2）检查每一个例程（routine）的输入参数值。

　　一旦非法输入被发现，那么应该根据情况进行处理。防御式编程的最佳的形式是在一开始就不引入错误。

　　2. 断言（Assertions）

　　一个断言通常是一个例程（routines）或者一个宏（marcos）。每个断言通常含有两个参数：一个布尔表示式（a boolean expression）和一个消息（a message）。一个布尔表达式的反面表示了一个错误。C 标准库提供了一个 assert 宏，它只带有一个参数，用法如下：

　　assert(1 == 0); // 注意 boolean expression 不要加引号

　　使用 assert 宏，需要包含头文件 cassert 或者 assert.h，执行上面语句的结果是程序终止运行，输出与下面消息类似的消息：

　　Assertion failed: 1 == 0, file d:\我的文档\visual studio projects\learning\assert\assert.cpp, line 9

　　通常来说，我们会定义自己的 assert 宏，其目的有两个：

　　（1）新增参数，例如新增一个消息参数，使得 assert 宏输出更为丰富的信息。

　　（2）改变 assert 的行为内容。C 标准库中的 assert 宏将中断程序，实际上，我们可以让程序继续运行而不中断或者进入调试状态等，另外还可以控制消息输出的目标，即控制消息是输出到控制台还是文本文件，甚至是通过网络发出。

　　下面是一个 C++ 实现的断言：

　　#ifdef _DEBUG

　　#define Assert(exp, message) \

　　{ \

　　if (!(exp)) \

　　{ \

　　std::cout << "Assertion failed: " << #exp << "\n" \

　　<< "Message: " << message << "\n" \

　　<< "line: " << __LINE__ << "\n" \

　　<< "file: " << __FILE__ << "\n"; \

　　exit(EXIT_FAILURE); \

　　} \

　　}

　　#else

　　#define Assert(exp, message)

　　#endif

　　执行 Assert(1 == 0, "Error"); 结果为：

　　Assertion failed: 1 == 0

　　Message: Error

　　line: 24

　　file: d:\我的文档\visual studio projects\learning\assert\assert.cpp

　　使用断言应该注意一下的几个问题：

　　1）对非预期错误使用断言

　　断言中的布尔表达式的反面一定要描述一个非预期错误，下面所述的在一定情况下为非预期错误的一些例子：

　　（1）空指针。

　　（2）输入或者输出参数的值不在预期范围内。

　　（3）数组的越界。

　　非预期错误对应的就是预期错误，我们通常使用错误处理代码来处理预期错误，而使用断言处理非预期错误。在代码执行过程中，有些错误永远不应该发生，这样的错误是非预期错误。断言可以被看成是一种可执行的注释，你不能依赖它来让代码正常工作（《Code Complete 2》）。例如：

　　int nRes = f(); // nRes 由 f 函数控制， f 函数保证返回值一定在 -100 ~ 100

　　Assert(-100 <= nRes && nRes <= 100); // 断言，一个可执行的注释

　　由于 f 函数保证了返回值处于 -100 ~ 100，那么如果出现了 nRes 不在这个范围的值时，就表明一个非预期错误的出现。后面会讲到“隔栏”，那时会对断言有更加深刻的理解。

　　2）不要把需要执行的代码放入断言中

　　断言用于软件的开发和维护，而通常不在发行版本中包含断言。

　　需要执行的代码放入断言中是不正确的，因为在发行版本中，这些代码通常不会被执行，例如：

　　Assert(f()); // f 函数通常在发行版本中不会被执行

　　而使用如下方法则比较安全：

　　res = f();

　　Assert(res); // 安全

　　3）对来源于内部系统的可靠的数据使用断言，而不要对外部不可靠的数据使用断言，对于外部不可靠数据，应该使用错误处理代码。再次强调，把断言看成可执行的注释。

　　前条件（preconditions）和后条件（postconditions）

　　前条件是调用方代码在调用例程（routines）或者实例化对象之前要确保为真的条件，后条件是例程执行后或者类实例化后应满足的条件。下面是一个例子：

　　// 前条件，这里 nNum1 和 nNum2 的取值被前面代码所约束并保证取值在 -50 ~ 50

　　Assert(-50 <= nNum1 && nNum1 <= 50, "Add_nNum1");

　　Assert(-50 <= nNum2 && nNum2 <= 50, "Add_nNum2");

　　int nRes = add(nNum1, nNum2);

　　// 后条件

　　Assert(-100 <= nRes && nRes <= 100, "Add_nRes");

　　注意，由于 nNum1 和 nNum2 取值范围已经被约束，因此可以使用断言，但是如果 nNum1 和 nNum2 的值来源于不可靠的外部系统，那么应该使用错误处理代码，而不是使用断言。

　　3. 错误处理技术

　　这里主要讲述如何处理预期错误。

　　（1）终止程序运行

　　有些错误非常严重，如果出现，那么最好就的做法就是让程序终止并且让用户重启程序。例如，对于显示 X 光片的绘图程序，如果数据出错，那么就关闭程序，这个时候关闭程序要远远好于显示错误的数据。

　　（2）继续程序运行

　　有时候，错误出现了，但是没有必要去关闭程序，那么就有两种处理方案：

　　a. 在例程中处理错误

　　例如让例程返回一个中立值，这是一种可行的方法，中立值在有些语言里面被描述为“类型的默认值”，例如整形的中立值为 0，指针的中立值为 NULL（或 null 等）

　　b. 在例程外处理错误

　　返回一个错误码也是可行的，返回错误码意味着，错误将交由其他程序部分来处理，而不是本例程处理。

　　对于出现了错误，而没有终止程序的运行，这时候，你可以在日志文件中添加一个警告信息。

　　抉择：正确性和健壮性

　　有些程序要求非常高的正确性，而有些程序要求较高的健壮性，通常两者我们只能取其一。

　　（1）正确性意味着结果永远是正确的，如果出错，宁愿不给出结果也不要给定一个不准确的值。

　　（2）健壮性意味着通过一些措施，保证软件能够正常运行下去，即使有时候会有一些不准确的值出现。

　　4. 隔栏（barricades）

　　隔栏本身就是一组错误处理代码，对于内部类只需要使用断言而无需使用错误处理代码。当断言为假时，表明了问题出在了程序中而不是数据中，需要通过修改代码来消除问题。在此，请读者联系本文开始 --- “在非法输入（Invalid Inputs）中保护你的程序”这一部分进行思考。