顾名思义,防御性编程是一种细致、谨慎的编程方法。为了开发可靠的软件,我们要设计系统中的每个组件,以使其尽可能的”保护”自己。我们通过明确地在代码中对设想进行检查,这是一种努力,防止我们的代码以将会展现错误行为的方式被调用。
防御性编程使我们可以尽早的发现较小的问题,而不是等到它们发展成大的灾难的时候才发现。其开发软件的过程是:
下面总结了一些防御性编程的反对和支持者的意见:
反对者:
支持者:
采用良好的编码风格,来防范大多数编码错误。如:
关键字const可以给读你代码的人传达非常有用的信息。例如,在函数的形参前添加const关键字意味着这个参数在函数体内不会被修改,属于输入参数。
同时,合理地使用关键字const可以使编译器很自然的保护那些不希望被修改的参数,防止其被无意的代码修改,减少bug的出现。
在一些并行设备的硬件寄存器(如状态寄存器),中断服务子程序中会访问到的全局变量以及多线程应用中被几个任务共享的变量前使用volatile关键字来防止编译优化。
欲速则不达,每敲一个字,都要想清楚你要输入的是什么。在写每一行时都三思而后行。可能会出现什么样的错误?你是否已经考虑了所有可能出现的逻辑分支?放慢速度,有条不紊的编程虽然看上去很平凡,但这的确是减少缺陷的好办法。
如C语言编程中,追求速度的程序员经常会出现的一个问题就是将”==”错误的输入为”=”,而有些编译器并不会警告,这就会造成问题。
这里是指用怀疑的眼光来审视所有的输入和所有的结果,直到你能证明这段代码是正确的时候为止。
简单是一种美,不要让你的代码过于复杂。即编写的代码一定要逻辑清晰,可读性强。
在你的代码中产生任何警告信息,都应立即修正代码。要知道警告的出现总是有原因的。即使你认为某个警告无关紧要,也不要置之不理。
我们最常见的一些安全隐患大概是由缓冲溢出引起的。缓冲溢出是由于不正确的使用固定大小的数据结构而造成的。例如,如下这个代码:
char * unsafe_copy(const char * source)
{
char *buffer = new char[10];
strcpy(buffer,source);
return buffer;
}
如果source中的数据长度超过10个字符,它就会造成其它问题。我们可以改成如下形式:
char * safe_copy(const char * source)
{
char *buffer = new char[10];
strncpy(buffer,source,10); //用strncpy代替strcpy可以保护这个代码段
return buffer;
}
如果一个函数返回一个值,他这样做肯定是有理由的。检查这个返回值,如果返回值是一个错误代码,你就必须辨别这个代码并处理所有的错误。不要让错误悄无声息的侵入你的程序;大多数难以察觉的错误都是因为程序员没有检查返回值而出现的。
对于在执行期间所获取的任何资源,必须彻底释放。
如果你意外的使用了一个没有初始化的变量,那么你的程序在每次运行的时候都将得到不同的结果,这取决于当时内存中的垃圾信息是什么。这样会造成很多随机的行为,给查找带来很多的麻烦。因此,需要在声明每个变量的时候就对它进行初始化。