좋아하는 (영리한) 방어 프로그래밍 모범 사례 [닫기]

방어 코딩을 위해 좋아하는 (영리한) 기술 을 선택해야한다면 그 기술은 무엇입니까? 현재 사용하는 언어는 Java 및 Objective-C (C ++의 배경 지식)이지만 모든 언어로 자유롭게 대답 할 수 있습니다. 여기서 우리 중 70 % 이상이 이미 알고있는 것 이외의 영리한 방어 기술 에 중점 을 둘 것입니다. 이제 트릭을 깊이 파고들 차례입니다.

다시 말해이 흥미없는 예 이외의 다른 것을 생각해보십시오 .

• if(5 == x) 대신 if(x == 5) : 의도하지 않은 할당을 피하기 위해

다음은 흥미로운 방어 적 프로그래밍 방법에 대한 몇 가지 예입니다 (언어 별 예는 Java로되어 있음).

-변수를 변경해야 할 때까지 변수를 잠그십시오.

즉, 변수 를 변경해야한다는 것을 알 때까지 모든 변수를 선언 할 수 있으며이 final시점에서을 제거 할 수 있습니다 final. 일반적으로 알려지지 않은 사실은 이것이 메소드 매개 변수에도 유효하다는 것입니다.

public void foo(final int arg) { /* Stuff Here */ }

-나쁜 일이 생길 때는 증거를 남기십시오

예외가있을 때 수행 할 수있는 여러 가지 작업이 있습니다. 명백하게 기록하고 정리를 수행하는 것은 몇 가지 일 것입니다. 그러나 증거의 흔적을 남길 수도 있습니다 (예 : "UNABLE TO LOAD FILE"또는 99999와 같은 센티넬 값으로 변수를 설정하면 예외 catch블록을 넘어서 버릴 경우 디버거에서 유용 할 수 있습니다 ).

-일관성에 관해서 : 악마는 세부 사항에 있습니다.

사용중인 다른 라이브러리와 일관성을 유지하십시오. 예를 들어 Java에서 값 범위를 추출하는 메소드를 작성하는 경우 하한을 포함 하고 상한을 독점으로 설정하십시오 . 이것은 String.substring(start, end)같은 방식으로 작동하는 것과 같은 방법과 일치하게합니다 . Sun JDK에서 이러한 유형의 모든 메소드는 배열이 일치하는 요소의 반복을 포함하여 다양한 작업을 수행하므로 인덱스가 0 ( 포함 )부터 배열의 길이 ( 독점 ) 까지 다양한 방식으로 작동하므로 이러한 방식으로 작동합니다 .

그렇다면 가장 좋아하는 수비 관행은 무엇입니까?

업데이트 : 아직하지 않은 경우 자유롭게 차임하십시오. 공식 답변을 선택하기 전에 더 많은 답변을 드리겠습니다.

c ++에서는 펜스 포스트 오류를 ​​포착하기 위해 여분의 메모리를 제공하기 위해 새로운 재정의를 한 번 좋아했습니다.

현재 저는 테스트 주도 개발 (Test Driven Development)을 선호하는 방어 적 프로그래밍을 피하는 것을 선호합니다 . 오류를 신속하고 외부 적으로 포착하는 경우 방어적인 조작으로 코드를 어지럽 힐 필요가 없으며 코드가 건조 되어 방어해야 할 오류가 줄어 듭니다.

WikiKnowledge가 쓴대로 :

방어 프로그래밍을 피하고 대신 빨리 실패하십시오.

방어 적 프로그래밍이란 데이터의 일부 실패를 보상하는 코드 작성, 호출자가 호출자와 서브 루틴 간의 계약을 준수하지 않는 데이터를 제공 할 수 있고 서브 루틴이 어떻게 든 대처해야한다고 가정하는 코드 작성 습관을 의미합니다. 그것으로.

SQL

데이터를 삭제해야 할 때

select *    
--delete    
From mytable    
Where ...

내가 그것을 실행할 때, where 절을 잊어 버렸는지 알 수 있습니다. 안전이 있습니다. 모든 것이 괜찮다면 '-'주석 토큰 다음에있는 모든 것을 강조 표시하고 실행합니다.

편집 : 많은 데이터를 삭제하는 경우 * 대신 count (*)를 사용합니다.

응용 프로그램이 시작될 때 합리적인 메모리 덩어리를 할당하십시오. Steve McConnell은 이것을 Code Complete 의 메모리 낙하산 이라고 부릅니다 .

심각한 문제가 발생하여 종료해야하는 경우에 사용할 수 있습니다.

이 메모리를 미리 할당하면 여유 공간을 확보 한 후 사용 가능한 메모리를 사용하여 다음을 수행 할 수 있으므로 안전망이 제공됩니다.

• 모든 영구 데이터 저장
• 적절한 파일을 모두 닫습니다
• 로그 파일에 오류 메시지 쓰기
• 사용자에게 의미있는 오류를 제시

기본 사례가없는 모든 switch 문에서 오류 메시지와 함께 프로그램을 중단하는 사례를 추가합니다.

#define INVALID_SWITCH_VALUE 0

switch (x) {
case 1:
  // ...
  break;
case 2:
  // ...
  break;
case 3:
  // ...
  break;
default:
  assert(INVALID_SWITCH_VALUE);
}

열거 형 (C #)의 다양한 상태를 처리 할 때 :

enum AccountType
{
    Savings,
    Checking,
    MoneyMarket
}

그런 다음, 일상 안에서 ...

switch (accountType)
{
    case AccountType.Checking:
        // do something

    case AccountType.Savings:
        // do something else

    case AccountType.MoneyMarket:
        // do some other thing

    default:
-->     Debug.Fail("Invalid account type.");
}

언젠가이 열거 형에 다른 계정 유형을 추가하겠습니다. 그리고 내가 할 때, 나는이 스위치 문장을 고치는 것을 잊을 것이다. 따라서이 Debug.Fail사실에주의를 끌기 위해 디버그 모드에서 끔찍하게 충돌이 발생합니다. 을 추가하면 case AccountType.MyNewAccountType:다른 계정 유형을 추가하고 여기에서 사례를 업데이트하는 것을 잊을 때까지 끔찍한 충돌이 중지됩니다.

(예, 다형성이 아마도 더 좋을 수도 있지만 이것은 단지 내 머리 꼭대기의 예일뿐입니다.)

문자열 (특히 사용자 입력에 따라 다름)과 함께 오류 메시지를 인쇄 할 때 항상 작은 따옴표를 사용합니다 ''. 예를 들면 다음과 같습니다.

FILE *fp = fopen(filename, "r");
if(fp == NULL) {
    fprintf(stderr, "ERROR: Could not open file %s\n", filename);
    return false;
}

%s파일 이름이 빈 문자열이거나 공백 또는 무언가이기 때문에 따옴표 가 부족합니다 . 인쇄 된 메시지는 물론 다음과 같습니다.

ERROR: Could not open file

따라서 항상하는 것이 좋습니다.

fprintf(stderr, "ERROR: Could not open file '%s'\n", filename);

그런 다음 최소한 사용자에게 다음이 표시됩니다.

ERROR: Could not open file ''

최종 사용자가 제출 한 버그 보고서의 품질 측면에서 큰 차이가 있습니다. 일반적인 소리가 아닌 이와 같은 재미있는 오류 메시지가있는 경우 "내 파일을 열지 않습니다"라고 쓰지 않고 복사 / 붙여 넣기 할 가능성이 훨씬 높습니다.

SQL 안전

데이터를 수정할 SQL을 작성하기 전에 롤백 트랜잭션으로 전체를 래핑합니다.

BEGIN TRANSACTION
-- LOTS OF SCARY SQL HERE LIKE
-- DELETE FROM ORDER INNER JOIN SUBSCRIBER ON ORDER.SUBSCRIBER_ID = SUBSCRIBER.ID
ROLLBACK TRANSACTION

이렇게하면 잘못된 삭제 / 업데이트를 영구적으로 실행할 수 없습니다. 또한 모든 것을 실행하고 합리적인 레코드 수를 확인하거나 SELECTSQL과 사이 에 문을 추가 하여 ROLLBACK TRANSACTION모든 것이 올바르게 표시되도록 할 수 있습니다.

완전히있을 때 확실히 당신이 기대했던의 변경 않습니다 ROLLBACK에 COMMIT와 진짜 실행합니다.

모든 언어의 경우 :

변수의 범위를 가능한 최소로 줄이십시오 . 다음 명령문으로 전달하기 위해 제공된 변수 를 피하십시오. 존재하지 않는 변수는 이해할 필요가없는 변수이며 책임을 질 수 없습니다. 같은 이유로 가능할 때마다 Lambdas를 사용하십시오.

의심스러운 경우 응용 프로그램을 폭파하십시오!

각각의 모든 방법 의 시작 부분에서 각각 의 모든 매개 변수를 확인 하고 (명확하게 코딩하거나 계약 기반 프로그래밍을 사용하는 것은 중요하지 않음) 올바른 사전 예외 및 / 또는 코드의 전제 조건이 충족시키지 못함.

우리 는 코드를 작성할 때 이러한 암시 적 전제 조건에 대해 알고 있지만, 명시 적으로 검사하지 않으면 나중에 문제가 발생했을 때 스스로 미로를 만들고 수십 번의 메소드 호출이 증상의 발생과 실제 위치를 분리합니다. 전제 조건이 충족되지 않은 경우 (= 문제 / 버그가 실제로있는 위치)

Java에서, 특히 콜렉션이있는 경우 API를 사용하십시오. 따라서 메소드가 List 유형 (예 : 유형)을 리턴하는 경우 다음을 시도하십시오.

public List<T> getList() {
    return Collections.unmodifiableList(list);
}

수업에서 피할 필요가없는 물건을 피하십시오!

펄에서는

use warnings;

나는 좋아한다

use warnings FATAL => 'all';

이로 인해 컴파일러 / 런타임 경고로 인해 코드가 종료됩니다. 이것은 초기화되지 않은 문자열을 잡는 데 주로 유용합니다.

use warnings FATAL => 'all';
...
my $string = getStringVal(); # something bad happens;  returns 'undef'
print $string . "\n";        # code dies here

씨#:

string myString = null;

if (myString.Equals("someValue")) // NullReferenceException...
{

}

if ("someValue".Equals(myString)) // Just false...
{

}

C #에서 string.IsNullOrEmpty를 확인하기 전에 length, indexOf, mid 등과 같은 문자열에 대한 작업을 수행하기 전에

public void SomeMethod(string myString)
{
   if(!string.IsNullOrEmpty(myString)) // same as myString != null && myString != string.Empty
   {                                   // Also implies that myString.Length == 0
     //Do something with string
   }
}

[편집]
이제 .NET 4.0에서 다음을 수행 할 수 있습니다. 값이 공백인지 추가로 확인합니다.

string.IsNullOrWhiteSpace(myString)

Java 및 C #에서 모든 스레드에 의미있는 이름을 지정하십시오. 여기에는 스레드 풀 스레드가 포함됩니다. 스택 덤프가 훨씬 더 의미가 있습니다. 스레드 풀 스레드에도 의미있는 이름을 지정하는 데 약간의 노력이 필요하지만 하나의 스레드 풀에 오래 실행되는 응용 프로그램에서 문제가 발생하면 스택 덤프가 발생할 수 있습니다 ( SendSignal.exe 에 대해 알고 있습니까? ), 로그를 잡고 실행중인 시스템을 중단하지 않고 어떤 스레드가 ... 무엇인지 알 수 있습니다. 교착 상태, 누출, 성장 등 문제가 무엇이든간에.

VB.NET을 사용하면 Visual Studio 전체에 대해 Option Explicit 및 Option Strict가 기본적으로 켜져 있습니다.

C ++

#define SAFE_DELETE(pPtr)   { delete pPtr; pPtr = NULL; }
#define SAFE_DELETE_ARRAY(pPtr) { delete [] pPtr; pPtr = NULL }

그런 다음 모든 ' delete pPtr '및 ' delete [] pPtr '호출을 SAFE_DELETE (pPtr) 및 SAFE_DELETE_ARRAY (pPtr)로 바꿉니다.

실수로 포인터를 삭제 한 후 포인터 'pPtr'을 사용하면 '액세스 위반'오류가 발생합니다. 무작위 메모리 손상보다 수정하는 것이 훨씬 쉽습니다.

Java를 사용하면 어설 션이 해제 된 상태에서 프로덕션 코드를 실행하더라도 어설 션 키워드를 사용하는 것이 편리 할 수 ​​있습니다.

private Object someHelperFunction(Object param)
{
    assert param != null : "Param must be set by the client";

    return blahBlah(param);
}

어설 션이 꺼져 있어도 적어도 코드는 매개 변수가 어딘가에 설정 될 것이라는 사실을 문서화합니다. 이것은 비공개 도우미 함수이며 공개 API의 멤버가 아닙니다. 이 방법은 사용자 만 호출 할 수 있으므로 사용 방법에 대해 특정 가정을하는 것이 좋습니다. 공개 메소드의 경우 유효하지 않은 입력에 대해 실제 예외를 발생시키는 것이 좋습니다.

readonlyReSharper를 찾을 때까지 키워드를 찾지 못했지만 이제는 특히 서비스 클래스에서 본능적으로 키워드를 사용합니다.

readonly var prodSVC = new ProductService();

Java에서 어떤 일이 일어나고 있는데 왜 그런지 모르겠다면 때때로 다음과 같이 Log4J를 사용할 것입니다.

if (some bad condition) {
    log.error("a bad thing happened", new Exception("Let's see how we got here"));
}

이렇게하면 예기치 않은 상황에 빠진 방법, 잠금 해제되지 않은 잠금 장치, null이 될 수없는 null 등의 방법을 보여주는 스택 추적이 표시됩니다. 분명히 실제 예외가 발생하면이 작업을 수행 할 필요가 없습니다. 이것은 실제로 다른 것을 방해하지 않고 프로덕션 코드에서 무슨 일이 일어나고 있는지 확인해야 할 때입니다. 나는 예외를 던지고 싶지 않아서 예외를 잡지 않았다. 적절한 메시지로 스택 추적을 기록하여 발생하는 상황을 표시하려고합니다.

Visual C ++를 사용하는 경우 기본 클래스의 메서드를 재정의 할 때마다 override 키워드를 사용하십시오 . 이런 식으로 누군가가 기본 클래스 서명을 변경하면 잘못된 메소드가 자동으로 호출되는 대신 컴파일러 오류가 발생합니다. 이전에 존재했다면 몇 번이나 절약했을 것입니다.

예:

class Foo
{
   virtual void DoSomething();
}

class Bar: public Foo
{
   void DoSomething() override { /* do something */ }
}

Java에서 무한히 오랜 시간이 걸릴 것으로 예상하지 않는 한 잠금을 해제하기를 무한정 기다리지 않는 법을 배웠습니다 . 현실적으로 잠금이 몇 초 안에 풀리면 일정 시간 동안 만 기다립니다. 잠금이 해제되지 않으면 스택에 불만을 제기하고 로그를 덤프하고 시스템 안정성에 가장 적합한 방법에 따라 잠금이 해제 된 것처럼 계속 진행하거나 잠금이 해제되지 않은 것처럼 계속 진행합니다.

이것은 내가 이것을 시작하기 전에 신비했던 몇 가지 경쟁 조건과 의사 교착 상태를 분리하는 데 도움이되었습니다.

씨#

• 공개 메소드에서 참조 유형 매개 변수의 널이 아닌 값을 확인하십시오.
• 나는 sealed원하지 않는 곳에 의존성을 도입하지 않기 위해 클래스에 많은 것을 사용 합니다. 상속을 허용하는 것은 우연이 아닌 명시 적으로 이루어져야합니다.

오류 메시지를 발행 할 때 최소한 오류 발생을 결정할 때 프로그램과 동일한 정보를 제공하십시오.

"권한이 거부되었습니다"는 권한 문제가 있음을 나타내지 만 문제의 원인 또는 위치를 모릅니다. "트랜잭션 로그 / my / file : 읽기 전용 파일 시스템을 쓸 수 없습니다"는 결정이 잘못 되었더라도, 특히 잘못된 경우, 특히 잘못된 경우 : 잘못된 파일 이름입니까? 잘못 열었습니까? 다른 예기치 않은 오류? -문제가 발생한 시점을 알려줍니다.

C #에서 as키워드를 사용하여 캐스트하십시오.

string a = (string)obj

obj가 문자열이 아닌 경우 예외가 발생합니다.

string a = obj as string

obj가 문자열이 아닌 경우 a를 null로 남겨 둡니다.

여전히 null을 고려해야하지만 일반적으로 캐스트 예외를 찾는 것이 더 간단합니다. 때때로 "캐스트 또는 블로우 업"유형 동작을 원할 경우(string)obj 원하는 구문이 선호됩니다.

내 코드에서는 as약 75 %의 (cast)구문과 약 25 %의 구문을 사용합니다.

무엇이든 준비 하십시오 입력, 그리고 당신이 얻을 모든 입력은 로그가 예기치 않게, 덤프입니다. (이유 내에서 사용자로부터 암호를 읽는 경우 해당 로그를 덤프로 덤프하지 마십시오! 그리고 이러한 종류의 메시지를 초당 로그에 로그하지 마십시오. 로그하기 전에 내용 및 가능성 및 빈도에 대한 이유 .)

사용자 입력 유효성 검사에 대해서만 말하는 것이 아닙니다. 예를 들어, XML을 포함 할 것으로 예상되는 HTTP 요청을 읽는 경우 다른 데이터 형식을 준비하십시오. 내 요청이 내가 알지 못하고 고객이 무지하다고 주장한 투명한 프록시를 통과하는 것을 볼 때까지 XML 만 기대했던 HTML 응답을보고 놀랐고 프록시는 의뢰. 따라서 프록시는 클라이언트에게 XML 데이터 만 기대했던 혼란을 혼란스럽게하여 HTML 오류 페이지를 클라이언트에 반환했습니다.

따라서 와이어의 양쪽 끝을 제어한다고 생각하더라도 악의가없는 예기치 않은 데이터 형식을 얻을 수 있습니다. 예상치 못한 입력이 발생할 경우 방어 적으로 코드를 작성하고 진단 출력을 제공하십시오.

계약 방식으로 디자인을 사용하려고합니다. 모든 언어로 런타임을 에뮬레이트 할 수 있습니다. 모든 언어는 "어설 션"을 지원하지만 오류를보다 유용한 방식으로 관리 할 수있는 더 나은 구현을 작성하는 것은 쉽고 편리합니다.

에서 상위 25 가장 위험한 프로그래밍 오류 은 "부적절한 입력 유효성 검사"섹션 "구성 요소 사이에 안전하지 않은 상호 작용"에서 가장 위험한 실수입니다.

메소드 시작시 사전 조건 어설 션을 추가하면 매개 변수가 일관된 지 확인할 수 있습니다. 메소드의 끝에서 나는 사후 조건을 씁니다. 그 출력 할 inteded 무슨입니다 확인.

불변 을 구현하기 위해 , 나는 전제 조건과 사후 조건 매크로에 의해 정식으로 호출되어야하는 "클래스 일관성"을 검사하는 모든 클래스에 메소드를 작성합니다.

코드 계약 라이브러리를 평가하고 있습니다 .

자바

자바 API에는 불변 객체에 대한 개념이 없습니다. 이 경우 Final이 도움이 될 수 있습니다. 불변의 모든 클래스에 final을 태그하고 그에 따라 클래스를 준비하십시오. .

때로는 지역 변수에 final을 사용하여 값을 변경하지 않는 것이 유용한 경우가 있습니다. 나는 이것이 추악하지만 필요한 루프 구조에서 유용하다는 것을 알았습니다. 상수로 수정 ​​되었더라도 실수로 변수를 쉽게 재사용 할 수 있습니다.

게터에서 방어 복사 를 사용하십시오 . 기본 유형이나 변경 불가능한 객체를 반환하지 않으면 캡슐화를 위반하지 않도록 객체를 복사해야합니다.

clone을 사용하지 말고 copy 생성자를 사용하십시오 .

equals와 hashCode 사이의 계약을 배우십시오. 이것은 너무 자주 위반됩니다. 문제는 99 %의 경우 코드에 영향을 미치지 않는다는 것입니다. 사람들은 동등하게 덮어 쓰지만 hashCode는 신경 쓰지 않습니다. 코드에서 코드가 깨지거나 이상하게 작동하는 경우가 있습니다 (예 : 변경 가능한 객체를지도의 키로 사용).

echoPHP로 한 번 이상 쓰는 것을 잊었습니다 .

<td><?php $foo->bar->baz(); ?></td>
<!-- should have been -->
<td><?php echo $foo->bar->baz(); ?></td>

사실-> 그냥 에코하지 않을 때 왜-> baz ()가 아무것도 반환하지 않는지 알아 내려고 시도하는 데 영원히 걸릴 것입니다! : -S 그래서 나는 EchoMe반향되어야 할 값을 감쌀 수 있는 클래스를 만들었습니다 .

<?php
class EchoMe {
  private $str;
  private $printed = false;
  function __construct($value) {
    $this->str = strval($value);
  }
  function __toString() {
    $this->printed = true;
    return $this->str;
  }
  function __destruct() {
    if($this->printed !== true)
      throw new Exception("String '$this->str' was never printed");
  }
}

그리고 개발 환경을 위해 EchoMe를 사용하여 인쇄해야 할 것들을 포장했습니다.

function baz() {
  $value = [...calculations...]
  if(DEBUG)
    return EchoMe($value);
  return $value;
}

이 기술을 사용하여 첫 번째 예제에서 누락 된 echo예외가 발생합니다 ...

C ++

new를 입력하면 즉시 delete를 입력해야합니다. 특히 배열의 경우.

씨#

특히 중개자 패턴을 사용할 때 특성에 액세스하기 전에 널을 점검하십시오. 객체는 전달 된 다음 (이미 언급 한대로 as를 사용하여 캐스트해야 함) null을 검사합니다. 널이 아니라고 생각하더라도 어쨌든 확인하십시오. 나는 놀랐다.

동적 런타임 로그 레벨 조정을 허용하는 로깅 시스템을 사용하십시오. 로깅을 활성화하기 위해 프로그램을 중지해야하는 경우 버그가 발생한 드문 상태를 잃게됩니다. 프로세스를 중지하지 않고 더 많은 로깅 정보를 켤 수 있어야합니다.

또한 리눅스의 'strace -p [pid]'는 시스템 호출이 프로세스 (또는 리눅스 스레드)가 만들고 싶어한다는 것을 보여줍니다. 처음에는 이상하게 보일 수 있지만 libc 호출에 의해 일반적으로 어떤 시스템 호출이 사용되는지 익숙해지면 현장 진단에서이 기능이 매우 유용합니다.