1 什么是防御性編程？

顧名思義，防御性編程是一種細(xì)致、謹(jǐn)慎的編程方法。為了開(kāi)發(fā)可靠的軟件，我們要設(shè)計(jì)系統(tǒng)中的每個(gè)組件，以使其盡可能的”保護(hù)”自己。我們通過(guò)明確地在代碼中對(duì)設(shè)想進(jìn)行檢查，這是一種努力，防止我們的代碼以將會(huì)展現(xiàn)錯(cuò)誤行為的方式被調(diào)用。

防御性編程使我們可以盡早的發(fā)現(xiàn)較小的問(wèn)題，而不是等到它們發(fā)展成大的災(zāi)難的時(shí)候才發(fā)現(xiàn)。其開(kāi)發(fā)軟件的過(guò)程是：

下面總結(jié)了一些防御性編程的反對(duì)和支持者的意見(jiàn)：

反對(duì)者：

1. 它降低了代碼的效；即使是一個(gè)很小的額外代碼也需要一些額外的執(zhí)行時(shí)間。它對(duì)于一個(gè)函數(shù)來(lái)說(shuō)也許不要緊，但是對(duì)于一個(gè)由10萬(wàn)個(gè)函數(shù)組成的系統(tǒng)，問(wèn)題就變得嚴(yán)重了。
2. 每種防御性的做法都需要一些額外的工作；

支持者：

1. 防御性編程可以節(jié)省大量的調(diào)試時(shí)間，使你可以去做更有意義的事情。
2. 編寫(xiě)可以正常運(yùn)行、只是速度有些慢的代碼，要遠(yuǎn)遠(yuǎn)好過(guò)大多數(shù)時(shí)間都正常運(yùn)行、但是有時(shí)候會(huì)崩潰的代碼。
3. 防御性編程避免了大量的安全性問(wèn)題。

防御性編程技巧

1. 使用好的編碼風(fēng)格和合理的設(shè)計(jì)

采用良好的編碼風(fēng)格，來(lái)防范大多數(shù)編碼錯(cuò)誤。如：

• const關(guān)鍵字：

關(guān)鍵字const可以給讀你代碼的人傳達(dá)非常有用的信息。例如，在函數(shù)的形參前添加const關(guān)鍵字意味著這個(gè)參數(shù)在函數(shù)體內(nèi)不會(huì)被修改，屬于輸入?yún)?shù)。

同時(shí)，合理地使用關(guān)鍵字const可以使編譯器很自然的保護(hù)那些不希望被修改的參數(shù)，防止其被無(wú)意的代碼修改，減少bug的出現(xiàn)。

• volatile關(guān)鍵字：

在一些并行設(shè)備的硬件寄存器（如狀態(tài)寄存器），中斷服務(wù)子程序中會(huì)訪問(wèn)到的全局變量以及多線程應(yīng)用中被幾個(gè)任務(wù)共享的變量前使用volatile關(guān)鍵字來(lái)防止編譯優(yōu)化。

• static關(guān)鍵字：

1. 函數(shù)體內(nèi)static變量的作用范圍為該函數(shù)體，不同于auto變量，該變量的內(nèi)存只被分配一次，因此其值在下次調(diào)用時(shí)仍維持上次的值。
2. 在模塊內(nèi)的static全局變量可以被模塊內(nèi)的所有函數(shù)訪問(wèn)，但不能被模塊外其它函數(shù)訪問(wèn)。
3. 在模塊內(nèi)的static函數(shù)只可能被這一模塊內(nèi)的其它函數(shù)調(diào)用，這個(gè)函數(shù)的使用范圍被限制在聲明它的模塊內(nèi)。

• 位操作運(yùn)算中，盡可能使用<<、 >>、 &、|等運(yùn)算符，盡可能少使用/、%、*運(yùn)算符。
• 變量和函數(shù)的命名要有意義，并且盡可能做到一個(gè)函數(shù)只做一件事情。
• 多采用面向?qū)ο蟮乃枷雭?lái)編寫(xiě)代碼。
• 在投入到編碼工作之前，先考慮大體的設(shè)計(jì)方案，這也非常關(guān)鍵。

2. 不要倉(cāng)促的編寫(xiě)代碼

欲速則不達(dá)，每敲一個(gè)字，都要想清楚你要輸入的是什么。在寫(xiě)每一行時(shí)都三思而后行。可能會(huì)出現(xiàn)什么樣的錯(cuò)誤？你是否已經(jīng)考慮了所有可能出現(xiàn)的邏輯分支？放慢速度，有條不紊的編程雖然看上去很平凡，但這的確是減少缺陷的好辦法。

如C語(yǔ)言編程中，追求速度的程序員經(jīng)常會(huì)出現(xiàn)的一個(gè)問(wèn)題就是將”==”錯(cuò)誤的輸入為”=”，而有些編譯器并不會(huì)警告，這就會(huì)造成問(wèn)題。

3. 不要相信任何人

這里是指用懷疑的眼光來(lái)審視所有的輸入和所有的結(jié)果，直到你能證明這段代碼是正確的時(shí)候?yàn)橹埂?/p>

4. 編碼的目標(biāo)要清晰，而不是簡(jiǎn)潔

簡(jiǎn)單是一種美，不要讓你的代碼過(guò)于復(fù)雜。即編寫(xiě)的代碼一定要邏輯清晰，可讀性強(qiáng)。

5. 編譯時(shí)打開(kāi)所有警告開(kāi)關(guān)

在你的代碼中產(chǎn)生任何警告信息，都應(yīng)立即修正代碼。要知道警告的出現(xiàn)總是有原因的。即使你認(rèn)為某個(gè)警告無(wú)關(guān)緊要，也不要置之不理。

6. 使用安全的數(shù)據(jù)結(jié)構(gòu)

我們最常見(jiàn)的一些安全隱患大概是由緩沖溢出引起的。緩沖溢出是由于不正確的使用固定大小的數(shù)據(jù)結(jié)構(gòu)而造成的。例如，如下這個(gè)代碼：

char * unsafe_copy(const char * source)
{
   char *buffer = new char[10];
   strcpy(buffer,source);
   return buffer;
}

如果source中的數(shù)據(jù)長(zhǎng)度超過(guò)10個(gè)字符，它就會(huì)造成其它問(wèn)題。我們可以改成如下形式：

char * safe_copy(const char * source)
{
   char *buffer = new char[10];
   strncpy(buffer,source,10);  //用strncpy代替strcpy可以保護(hù)這個(gè)代碼段
   return buffer;
}

7. 檢查所有的返回值

如果一個(gè)函數(shù)返回一個(gè)值，他這樣做肯定是有理由的。檢查這個(gè)返回值，如果返回值是一個(gè)錯(cuò)誤代碼，你就必須辨別這個(gè)代碼并處理所有的錯(cuò)誤。不要讓錯(cuò)誤悄無(wú)聲息的侵入你的程序；大多數(shù)難以察覺(jué)的錯(cuò)誤都是因?yàn)槌绦騿T沒(méi)有檢查返回值而出現(xiàn)的。

8. 審慎的處理內(nèi)存

對(duì)于在執(zhí)行期間所獲取的任何資源，必須徹底釋放。

9. 在聲明位置初始化所有變量

如果你意外的使用了一個(gè)沒(méi)有初始化的變量，那么你的程序在每次運(yùn)行的時(shí)候都將得到不同的結(jié)果，這取決于當(dāng)時(shí)內(nèi)存中的垃圾信息是什么。這樣會(huì)造成很多隨機(jī)的行為，給查找?guī)?lái)很多的麻煩。因此，需要在聲明每個(gè)變量的時(shí)候就對(duì)它進(jìn)行初始化。

10. 同時(shí)，平時(shí)編碼時(shí)還要注意一些細(xì)則

• 提供默認(rèn)的行為:Switch語(yǔ)句中將default case的執(zhí)行明示出來(lái)。同樣地，如果你要編寫(xiě)一些不帶else子句的if語(yǔ)句，停下來(lái)想一想，你是否該處理這個(gè)邏輯上的默認(rèn)情況
• 檢查數(shù)值的上下限：確保每次運(yùn)算數(shù)值變量都不會(huì)溢出，即數(shù)據(jù)類型的使用要謹(jǐn)慎
• 注意強(qiáng)制轉(zhuǎn)換是否合理
• 聲明變量，可以使變量的聲明位置與使用它的位置盡量接近，從而防止它干擾代碼的其他部分
• 加合理的異常處理、日志文件
• 正確設(shè)置常量

優(yōu)秀的程序應(yīng)該做到：

• 關(guān)心代碼是否健壯
• 確保每個(gè)設(shè)想都顯示地體現(xiàn)在防御性代碼中
• 希望代碼對(duì)無(wú)用信息的輸入有正確的行為
• 在編程的時(shí)候認(rèn)真思考自己所編寫(xiě)的代碼
• 編寫(xiě)可以保護(hù)自己不受其他人的愚蠢傷害的代碼。