常規(guī)檢查業(yè)務(wù)1. 根據(jù)需求檢查業(yè)務(wù)邏輯代碼是否正確
2. 檢查代碼是否符合編碼規(guī)范
3. 檢查代碼是否存在潛在bug或內(nèi)存泄露
4. 檢查代碼是否存在性能瓶頸 常見BUG1. 空指針異常����,如使用對(duì)象時(shí)為保證其非null
2. 類型轉(zhuǎn)換異常��,如強(qiáng)制轉(zhuǎn)換
3. 算術(shù)異常�����,如除數(shù)為0
4. 越界異常,如數(shù)組越界
5. 內(nèi)存溢出異常���,如棧溢出(遞歸)���、堆溢出等
例如:遞歸函數(shù)必須有閉環(huán)條件即終止條件,或遞歸層級(jí)建議1000以內(nèi)
6. 對(duì)象隱式更新造成業(yè)務(wù)錯(cuò)誤����,如更新對(duì)象時(shí)未考慮其他業(yè)務(wù)正在使用 檢驗(yàn)
1. API入口參數(shù)必須有常規(guī)及業(yè)務(wù)性校驗(yàn)
2. JAVA中對(duì)象使用之前必須有非空(null)校驗(yàn),
注意:在業(yè)務(wù)流程上有非空校驗(yàn)即可����,例如一個(gè)對(duì)象之前已經(jīng)做過(guò)校驗(yàn),不做變更的情況下�,再次使用則無(wú)需校驗(yàn)
3. 數(shù)值類型在做除數(shù)計(jì)算之前必須進(jìn)行非0校驗(yàn)
編碼風(fēng)格
1. JAVA控制層訪問(wèn)路徑,均以小寫命名多個(gè)單詞則以下劃線相連����,層級(jí)保持在5級(jí)以內(nèi)
2. JAVA類名以大駝峰命名(例如:ClassName)
3. 函數(shù)及變量名以小駝峰命名(例如:functionName)
4. 常量名以全大寫命名多個(gè)單詞則以下劃線相連(例如:NAME_TYPE)
5. 函數(shù)參數(shù)個(gè)數(shù)保持在5個(gè)以內(nèi)
6. 函數(shù)返回值要以具有業(yè)務(wù)含義的對(duì)象返回,禁止使用Map作為返回值
7. 魔術(shù)數(shù)字必須以枚舉的方式統(tǒng)一定義并描述其業(yè)務(wù)含義
9. 代碼單行長(zhǎng)度不易超過(guò)100個(gè)字符
10. 單個(gè)類文件總代碼行數(shù)不可超過(guò)500行���,推薦200以內(nèi)
11. 單行代碼不易出現(xiàn)多層括號(hào)嵌套��,例如:(),{},[]的多層嵌套
12. 字符串比較將常量放在左邊,例如 “a”.equals(name)
13. if..else嵌套不可大于3層
異常處理
1. API接口調(diào)用、庫(kù)函數(shù)調(diào)用�����、系統(tǒng)服務(wù)調(diào)用必須進(jìn)行異常處理或?qū)惓佒琳{(diào)用者���,不可將異常信息吞掉����,例如try{//業(yè)務(wù)處理}catch(Exception e){//不做任何處理}
2. 處理異常禁止如下操作,通過(guò)日志工具記錄異常信息
try{//業(yè)務(wù)處理}catch(Exception e){ e.printStackTrace(); }
3. 禁止異常處理出現(xiàn)在迭代里面����,例如:for 、while���、 foreach里面
日志規(guī)范
1. ERROR 記錄造成業(yè)務(wù)異常的日志�,WARN記錄不影響業(yè)務(wù)流程的異常日志�,INFO記錄業(yè)務(wù)流程狀態(tài)日志,DEBUG詳細(xì)的操作或數(shù)據(jù)日志
2. 關(guān)鍵業(yè)務(wù)節(jié)點(diǎn)及業(yè)務(wù)流程發(fā)生狀態(tài)變化時(shí)必須記錄日志���,關(guān)鍵函數(shù)或服務(wù)調(diào)用必須記錄日志
3. 統(tǒng)一日志工具�����,例如:slf4j
4. 統(tǒng)一日志格式�����,DEBUG,INFO,WARN,ERROR���,此四類級(jí)別日志
常規(guī)日志�,例如:時(shí)間 日志級(jí)別 業(yè)務(wù)類型 日志內(nèi)容
審計(jì)日志INFO級(jí)別��,記錄在控制層����,統(tǒng)一日志內(nèi)容格式,例如:“用戶id,業(yè)務(wù)模塊,操作類型,資源名稱,發(fā)起地址”
5. 日志內(nèi)容禁止字符串拼接�����,建議統(tǒng)一以下格式
logger.debug("illegalCode[{}]'s pattern is null", request.getIllegalCode())
6. 在一個(gè)對(duì)象中通常只使用一個(gè)Logger對(duì)象���,Logger應(yīng)該是static final的����,只有在少數(shù)需要在構(gòu)造函數(shù)中傳遞logger的情況下才使用private final�。
7. 輸出Exceptions的全部Throwable信息����,因?yàn)閘ogger.error(msg)和logger.error(msg,e.getMessage())這樣的日志輸出方法會(huì)丟失掉最重要的StackTrace信息���。
8. 不允許記錄日志后又拋出異常,因?yàn)檫@樣會(huì)多次記錄日志���,只允許記錄一次日志�����。
9. 不允許出現(xiàn)System print(包括System.out.println和System.error.println)語(yǔ)句���。
10. 不允許出現(xiàn)printStackTrace。
11. 不允許出現(xiàn)調(diào)試用的Systom.out.pritln("")日志
12. 日志性能的考慮���,如果代碼為核心代碼�,執(zhí)行頻率非常高���,則輸出日志建議增加判斷�����,尤其是低級(jí)別的輸出<debug�、info、warn>���,至少INFO以下級(jí)別必須判斷,
if(logger.isDebugEnabled()){
logger.debug("illegalCode[{}]'s pattern is null", request.getIllegalCode())
}
冗余代碼
1. 清除冗余導(dǎo)入��,例如:import javax.servlet.ServletContext;導(dǎo)入了卻沒有使用
2. 清除冗余注釋代碼�,即注釋掉且不用的代碼
3. 清除業(yè)務(wù)代碼中冗余的“main”函數(shù)及System.out.println()�,如需測(cè)試建議在單元測(cè)試用測(cè)試
4. 重復(fù)性代碼,若業(yè)務(wù)功能一致��,必須抽離為公共模塊
5. 避免冗余的導(dǎo)入����,如:import java.util.*;
6.代碼邏輯的冗余
6.1. 業(yè)務(wù)邏輯上能提前終止的盡量提前終止,避免執(zhí)行過(guò)多的代碼�,如:
參數(shù)校驗(yàn)-->下載圖片-->校驗(yàn)數(shù)據(jù)是否重復(fù)-->保存數(shù)據(jù)
以上流程可以改為如下:
參數(shù)校驗(yàn)-->校驗(yàn)數(shù)據(jù)是否重復(fù)-->下載圖片-->保存數(shù)據(jù)
性能
1. 使用合適的數(shù)據(jù)類型及初始化大小
例如:
a. 多字符串的拼接單線程情況下使用StringBuilder
b. 數(shù)據(jù)量固定且讀操作頻繁的話選擇數(shù)組存儲(chǔ)數(shù)據(jù)
c. 集合的使用根據(jù)實(shí)際情況盡量初始化其容量
2. 資源使用完畢及時(shí)釋放
例如:
a. 對(duì)象使用完畢,及時(shí)給變量賦值為null
b. IO使用完畢要及時(shí)在finally中關(guān)閉掉
3. 使用合適的數(shù)據(jù)處理方式:懶加載�,異步和并行處理
4. 使用合適的方式提升響應(yīng)速度:緩存、隊(duì)列
5. 使用對(duì)象池����,處理大量對(duì)象創(chuàng)建的問(wèn)題
6. 數(shù)組的拷貝建議使用系統(tǒng)函數(shù)System.arraycopy();
7. synchronized、Lock�����,達(dá)到需求加鎖的代碼范圍或?qū)ο罅6仍叫≡胶茫虿贿m用�!
例如:
Set<String> recordIds = new HashSet<>()
String recordIdKey = genKey();
synchronized (recordIds) {
if (!recordIds.contains(recordIdKey)) {
//TODO 1 ...
//TODO 2 ...
recordIds.add(recordIdKey);
}
}
方案1:
Map<String,String> recordIds = new ConcurrentHashMap<>()
String recordIdKey = genKey();
if(recordIds.putIfAbsent()!=null){
//TODO 1 ...
//TODO 2 ...
}
方案2:
可使用鎖池,recordIdKey獲取鎖之后再操作
8. 迭代(for�、foreach、while)嵌套不可大于3層�����,且在迭代中不可try...catch異常
安全檢查接口1. 上傳資源接口�,必須進(jìn)行資源類型�、大小校驗(yàn)(如非必要禁止文件的執(zhí)行權(quán)限)
2. 下載資源接口,必須進(jìn)行下載目錄校驗(yàn)且進(jìn)行唯一性資源下載限制
3. 直接執(zhí)行系統(tǒng)指令的API,避免指令拼接的安全隱患 業(yè)務(wù)
1. 業(yè)務(wù)層面權(quán)限校驗(yàn)����,對(duì)資源的訪問(wèn)必須有權(quán)限的限制
密碼
1. 密碼規(guī)則應(yīng)數(shù)字、字母��、特殊字符組合����,長(zhǎng)度至少大于6位
2. 密碼的加密規(guī)則盡量使用:AES256+IV
3. 數(shù)據(jù)庫(kù)存儲(chǔ)及配置文件中的密碼應(yīng)進(jìn)行加密
SQL
1. sql編碼,必須處理sql注入的問(wèn)題
2. 請(qǐng)求參數(shù)必須進(jìn)行特殊字符的處理(參數(shù)進(jìn)入業(yè)務(wù)之前)
并發(fā)
1. 并發(fā)情況下���,公共屬性���、對(duì)象��、數(shù)據(jù)必須進(jìn)行一致性處理(即并發(fā)安全處理)
文檔檢查注釋
1. API接口必須有功能描述���,字段必須有業(yè)務(wù)描述
2. API說(shuō)明文檔必須和實(shí)際API接口保持一致
3. 公共函數(shù)必須有功能描述,字段必須有業(yè)務(wù)描述
4. 數(shù)據(jù)庫(kù)表必須有功能描述��,字段必須有業(yè)務(wù)描述
5. 常量(編碼)必須有業(yè)務(wù)描述
|
