Совершенный код. Совершенный код. Мастер-класс. Стив Макконнелл. Руководство по стилю программирования и конструированию по

186
ЧАСТЬ II Высококачественный код методам, и т. п. При компиляции промышленной версии они могут быть удалены и, таким образом, не повлияют на производительность системы.
Создание собственного механизма утверждений
Многие языки программирования, включая C++, Java, и
Microsoft Visual Basic, имеют встроенную поддержку утвер#
ждений. Если ваш язык не поддерживает процедуры утвер#
ждений напрямую, их легко написать. Стандартный макрос
assert языка C++ не предусматривает вывода текстового со#
общения. Вот пример улучшенного макроса
ASSERT на C++:
Пример макроса утверждения (C++)
#define ASSERT( condition, message ) {
\
if ( !(condition) ) {
\
LogError( ” Assertion failed: ”,
\
#condition, message );
\
exit( EXIT_FAILURE );
\
}
\
}
Общие принципы использования утверждений
Далее перечислены общие положения по применению утверждений.
Используйте процедуры обработки ошибок для ожидаемых событий и
утверждения для событий, которые происходить не должны Утверждения проверяют условия событий, которые
никогда не должны происходить. Обработчик ошибок проверяет внештатные события, которые могут и не происходить слишком часто, но были предусмотрены писавшим код программистом и должны обрабаты#
ваться и в промышленной версии. Обработчик ошибок обычно проверяет некоррек#
тные входные данные, утверждения — ошибки в программе.
Если для обработки аномальной ситуации служит обработчик ошибок, он позво#
лит программе адекватно отреагировать на ошибку. Если же в случае аномальной ситуации сработало утверждение, для исправления просто отреагировать на ошибку мало — необходимо изменить исходный код программы, перекомпилировать и выпустить новую версию ПО.
Будет правильно рассматривать утверждения как выполняемую документацию —
работать программу с их помощью вы не заставите, но вы можете документиро#
вать допущения в коде более активно, чем это делают комментарии языка про#
граммирования.
Старайтесь не помещать выполняемый код в утверждения Если в утвер#
ждении содержится код, возникает возможность удаления этого кода компилято#
ром при отключении утверждений. Допустим, у вас есть следующее утверждение:
Перекрестная ссылка Создание собственной процедуры утверж- дений — хороший пример про- граммирования «с использова- нием языка», а не просто про- граммирования «на языке». Под- робнее об этих различиях см.
раздел 34.4.

ГЛАВА 8 Защитное программирование
187
Пример опасного использования утверждения (Visual Basic)
Debug.Assert( PerformAction() ) ’ Невозможно выполнить действие.
Проблема здесь в том, что, если вы не компилируете утвер#
ждения, вы не компилируете и код, который выполняет ука#
занное действие. Вместо этого поместите выполняемые выражения в отдельных строках, присвойте результаты ста#
тусным переменным и проверяйте значения этих перемен#
ных. Вот пример безопасного использования утверждения:
Пример безопасного использования утверждения (Visual Basic)
actionPerformed = PerformAction()
Debug.Assert( actionPerformed ) ’ Невозможно выполнить действие.
Используйте утверждения для документирования и
проверки предусловий и постусловий Предусловия и постусловия — это часть подхода к проектированию и раз#
работке программ, известному как «проектирование по кон#
тракту» (Meyer, 1997). При использовании пред# и постусло#
вий каждый метод или класс заключает контракт с остальной частью программы.
Предусловия — это соглашения, которые клиентский код, вызывающий метод или класс,
обещает выполнить до вызова метода или создания экземпляра объекта. Предусло#
вия — это обязательства клиентского кода перед кодом, который он вызывает.
Постусловия — это соглашения, которые метод или класс обещает выполнить при завершении своей работы. Постусловия — это обязательства метода или класса перед кодом, который их использует.
Утверждения — удобный инструмент для документирования пред# и постусловий.
С этой целью можно использовать и комментарии, но в отличие от них утверж#
дения могут динамически проверять, выполняются ли пред# и постусловия.
В следующем примере утверждения документируют пред# и постусловия в функ#
ции
Velocity:
Пример использования утверждений для документирования
пред- и постусловий (Visual Basic)
Private Function Velocity ( _
ByVal latitude As Single, _
ByVal longitude As Single, _
ByVal elevation As Single _
) As Single
’ Предусловия
Debug.Assert ( 90 <= latitude And latitude <= 90 )
Debug.Assert ( 0 <= longitude And longitude < 360 )
Debug.Assert ( 500 <= elevation And elevation <= 75000 )
Перекрестная ссылка Можете рассматривать этот случай как одну из многих проблем, связан- ных с размещением нескольких операторов на одной строке.
Другие примеры см. в подразде- ле «Размещение одного опера- тора на строке» раздела 31.5.
Дополнительные сведения О пре- дусловиях и постусловиях см.
«Object-Oriented Software Const- ruction» (Meyer, 1997).

188
ЧАСТЬ II Высококачественный код
’ Постусловия
Debug.Assert ( 0 <= returnVelocity And returnVelocity <= 600 )
’ Возвращаемое значение
Velocity = returnVelocity
End Function
Если бы переменные
latitude, longitude и elevation поступили из внешнего источ#
ника, корректность их значений должна была быть проверена и обработана в коде обработчика ошибок, а не с помощью утверждений. Но если эти переменные поступили из доверенного внутреннего источника, а метод спроектирован в пред#
положении, что их значения будут в разрешенном интервале, то применение утверждений допустимо.
Для большей устойчивости кода проверяйте утвер'
ждения, а затем все равно обработайте возможные
ошибки Каждая потенциально ошибочная ситуация обыч#
но проверяется или утверждением, или кодом обработчи#
ка ошибок, но не тем и другим вместе. Некоторые эксперты утверждают, что не#
обходим только один тип проверки (Meyer, 1997).
Однако реальные программы и проекты бывают слишком запутанными, чтобы можно было полагаться на одни лишь утверждения. В больших, долгоживущих системах различные части могут разрабатываться несколькими проектировщиками
5–10 лет и более. Разработка будет производиться в разное время и в разных вер#
сиях продукта. Эти проекты будут основаны на разных технологиях и сосредото#
чены на различных вопросах разработки системы. Проектировщики могут быть удалены друг от друга географически, особенно если элементы системы приоб#
ретались у независимых компаний. Программисты будут использовать различные стандарты кодирования в разное время жизни системы. В большой команде раз#
работчиков некоторые неминуемо будут добросовестнее других, поэтому часть кода будет проверяться более тщательно, чем остальная. В любом случае, когда тестовые команды работают в нескольких географических регионах, а требова#
ния бизнеса приводят к изменению тестового покрытия от версии к версии, рас#
считывать на всестороннее низкоуровневое тестирование системы нельзя.
В этих обстоятельствах одна и та же ошибка может быть проверена и с помощью утверждения, и обработчиком ошибок. Так, в исходном коде Microsoft Word усло#
вия, которые должны быть истинными, сперва помещаются в утверждения, а за#
тем и в коде обработки ошибок рассматривается ситуация, когда утверждение ложно. В столь сложных и долгоживущих приложениях, как Word, утверждения служат для выявления как можно большего числа ошибок периода разработки. Но поскольку приложение очень сложное (миллионы строк кода) и прошло через столько изменений, неразумно ожидать обнаружения и исправления всех мысли#
мых ошибок до начала поставки приложения пользователям. Поэтому ошибки должны обрабатываться и в промышленной версии системы.
Вот как это можно сделать на примере функции
Velocity:
Перекрестная ссылка Об устой- чивости см. «Устойчивость про- тив корректности» раздел 8.3.

ГЛАВА 8 Защитное программирование
189
Пример использования утверждений для документирования
пред- и постусловий (Visual Basic)
Private Function Velocity ( _
ByRef latitude As Single, _
ByRef longitude As Single, _
ByRef elevation As Single _
) As Single
’ Предусловия
Так выглядит код утверждения.
Debug.Assert ( 90 <= latitude And latitude <= 90 )
Debug.Assert ( 0 <= longitude And longitude < 360 )
Debug.Assert ( 500 <= elevation And elevation <= 75000 )
’ Откорректируйте входные данные. Значения должны попадать
’ в интервалы, указанные в вышестоящих утверждениях. Иначе
’ они будут заменены ближайшими допустимыми значениями.
Таким может быть код, обрабатывающий неверные входные данные во время выполнения программы.
If ( latitude < 90 ) Then latitude = 90
ElseIf ( latitude > 90 ) Then latitude = 90
End If
If ( longitude < 0 ) Then longitude = 0
ElseIf ( longitude > 360 ) Then
8.3. Способы обработки ошибок
Утверждения применяют для обработки ошибок, которые никогда не должны происходить. А что делать с возможными ошибками? В зависимости от обстоя#
тельств вы можете вернуть некое нейтральное значение, заменить следующим корректным блоком данных, вернуть тот же результат, что и в предыдущий раз,
подставить ближайшее допустимое значение, записать предупреждающее сооб#
щение в файл, вернуть код ошибки, вызвать метод или объект — обработчик ошибки или прекратить выполнение. Вы также можете использовать несколько способов одновременно.
Рассмотрим эти приемы подробней.
Вернуть нейтральное значение Иногда наилучшей реакцией на неправиль#
ные данные будет продолжение выполнения и возврат заведомо безопасного зна#
чения. Численные расчеты могут возвращать 0. Операция со строкой может вер#
нуть пустую строку, а операция с указателем — пустой указатель. Метод рисова#
ния в видеоигре, получивший неправильное исходное значение цвета, может по
>
>

190
ЧАСТЬ II Высококачественный код умолчанию использовать цвет фона или изображения. Однако в методе рисова#
ния рентгеновского снимка ракового больного вряд ли стоит применять «нейт#
ральное значение». В таких случаях лучше прекратить выполнение программы, чем показать пациенту неправильные результаты.
Заменить следующим корректным блоком данных Условия обработки по#
тока данных иногда таковы, что следует просто вернуть следующие допустимые данные. Если при чтении информации из базы данных встречена испорченная запись, можно просто продолжить считывание, пока не будут найдены коррект#
ные данные. Если вы считываете показания термометра 100 раз в секунду и один раз не получили достоверного измерения, можно просто подождать 1/100 секун#
ды и обратиться к следующему показанию.
Вернуть тот же результат, что и в предыдущий раз Если программа счи#
тывания показаний термометра один раз не получила измерение, она может просто вернуть то же значение, что и в предыдущий раз. В зависимости от приложения температура скорее всего не сильно изменится за 1/100 секунды. Если в видеоиг#
ре запросу на прорисовку части экрана передано неверное значение цвета, вы можете просто вернуть тот же цвет, что и раньше. Но, авторизуя транзакции в банкомате, вы, пожалуй, не захотите использовать «то же значение, что и в пре#
дыдущий раз» — ведь это будет номер счета предыдущего клиента!
Подставить ближайшее допустимое значение В некоторых случаях вы мо#
жете вернуть ближайшее допустимое значение, как выше в примере функции
Velocity. Часто это обоснованный подход для получения показаний откалиброван#
ных инструментов. Так, термометр мог бы быть откалиброван от 0 до 100 граду#
сов по Цельсию. Если вы получаете значение меньше 0, можно заменить его на 0,
как ближайшее допустимое значение. Если же значение больше 100, можно под#
ставить 100. Если в операции со строкой ее длина заявлена меньшей 0, можно принять ее за 0. Мой автомобиль использует этот подход к обработке ошибок, когда я двигаюсь задним ходом. Так как спидометр не показывает отрицательную ско#
рость, то при езде задним ходом, скорость просто равна 0 — ближайшему допус#
тимому значению.
Записать предупреждающее сообщение в файл Обнаружив неверные дан#
ные, вы можете решить записать предупреждение в файл журнала и продолжить работу. Этот подход можно сочетать с другими способами, такими как подстановка ближайшего допустимого значения или замена следующим корректным блоком данных. Используя такой журнальный файл, задумайтесь, можно ли его безопас#
но сделать общедоступным или же его надо зашифровывать либо защищать ка#
ким#либо иначе.
Вернуть код ошибки Вы можете решить, что только определенные части сис#
темы будут обрабатывать ошибки. Другие же не будут обрабатывать ошибки локально,
а будут просто сообщать, что обнаружена ошибка, и надеяться, что какой#либо другой вышестоящая в иерархии вызовов метод эту ошибку обработает. Конкретный ме#
ханизм оповещения остальной системы об ошибке может быть следующим:

установить значение статусной переменной;

вернуть статус в качестве возвращаемого значения функции;

ГЛАВА 8 Защитное программирование
191

сгенерировать исключение, используя встроенный в язык программирования механизм обработки исключений.
В этом случае не столь важно выбрать механизм обработки ошибок, как решить,
какая часть системы будет обрабатывать ошибки напрямую, а какая — только со#
общать об их возникновении. Если система должна быть безопасной, убедитесь,
что вызывающие методы всегда проверяют коды возврата.
Вызвать процедуру или объект — обработчик ошибок Другим подходом к централизованной обработке ошибок является создание глобальной специали#
зированной процедуры или объекта. Преимущество его в том, что контроль над обработкой ошибок сосредоточен в одном месте, что облегчает отладку. С дру#
гой стороны, вся программа целиком будет зависеть от этого кода. Если же вы захотите повторно использовать какую#то часть программы в другой системе,
придется перетаскивать туда и весь механизм обработки ошибок.
Этот подход может очень серьезно повлиять на безопасность. Если в программе возникнет переполнение буфера, злоумышленник сможет узнать адрес метода
(объекта)#обработчика. Таким образом, при переполнении буфера во время ра#
боты приложения использовать этот способ небезопасно.
Показать сообщение об ошибке, где бы она ни случилась Этот подход ми#
нимизирует накладные расходы на обработку ошибок. Однако он приводит к расползанию сообщений пользовательского интерфейса по коду приложения. Это может создавать сложности, если вы хотите реализовать целостный интерфейс пользователя, отделить этот интерфейс от остальной части системы или локали#
зовать ваше ПО. Остерегайтесь также сообщить потенциальным злоумышленни#
кам слишком многое — они часто используют сообщения об ошибках для поиска способа проникновения в систему.
Обработать ошибку в месте возникновения наиболее подходящим спосо'
бом В некоторых проектах предлагается обрабатывать ошибки локально, а вы#
бор используемого метода остается за программистом, реализующим ту часть си#
стемы, где происходит ошибка.
Такой подход предоставляет разработчикам большую гибкость. Однако он таит в себе опасность, что система в целом не будет удовлетворять требованиям коррек#
тности и устойчивости (см. ниже). А в зависимости от того, какой в конечном итоге будет реакция на ошибку, этот метод может привести к потенциальному распол#
занию кода пользовательского интерфейса по системе. Это приведет к тем же проблемам, что и в случае с выводом сообщений об ошибках.
Прекратить выполнение Некоторые системы прекращают работу при возник#
новении любой ошибки. Этот подход оправдан в приложениях, критичных к безопасности. Например, какая реакция на ошибку будет наилучшей, если ПО, кон#
тролирующее радиационное оборудование для лечения рака, получит некоррек#
тное значение радиационной дозы? Надо ли использовать то же значение, что и в предыдущий раз? А может, ближайшее допустимое или нейтральное значение?
В этом случае остановка работы — наилучший вариант. Мы охотнее предпочтем перезагрузить машину, чем рискнуть применить неправильную дозу.
Похожий подход применим и для повышения безопасности Microsoft Windows.
По умолчанию Windows продолжает работать, даже если журнал безопасности

192
ЧАСТЬ II Высококачественный код переполнен. Но вы можете изменить конфигурацию Windows так, что при запол#
нении журнала сервер будет прекращать работу. Это может быть полезно для систем повышенной секретности.
Устойчивость против корректности
Как нам показали примеры с видеоигрой и рентгеновской установкой, выбор под#
ходящего метода обработки ошибки зависит от приложения, в котором эта ошиб#
ка происходит. Кроме того, обработка ошибок в общем случае может стремиться либо к большей корректности, либо к большей устойчивости кода. Разработчики привыкли применять эти термины неформально, но, строго говоря, эти термины находятся на разных концах шкалы.
Корректность предполагает, что нельзя воз#
вращать неточный результат; лучше не вернуть ничего, чем неточное значение.
Устойчивость требует всегда пытаться сделать что#то, что позволит программе продолжить работу, даже если это приведет к частично неверным результатам.
Приложения, требовательные к безопасности, часто предпочитают корректность устойчивости. Лучше не вернуть никакого результата, чем неправильный резуль#
тат. Радиационная машина — хороший пример применения такого принципа.
В потребительских приложениях устойчивость, напротив, предпочтительнее кор#
ректности. Какой#то результат всегда лучше, чем прекращение работы. Текстовый редактор, которым я пользуюсь, временами показывает последнюю на экране строку лишь частично. Хочу ли я, чтобы при обнаружении этой ситуации редак#
тор завершал выполнение? Нет: когда я в следующий раз нажму Page Up или Page
Down, экран обновится, и изображение исправится.
Влияние выбора метода обработки ошибок
на проектирование высокого уровня
При наличии такого широкого выбора надо стараться реагировать на не#
правильные значения параметров одинаково во всей программе. Способ обработки ошибок влияет на соответствие ПО требованиям корректно#
сти, устойчивости и другим атрибутам, не относящимся к функциональности.
Выбор общего подхода к работе с некорректными данными — это вопрос архи#
тектуры или высокоуровневого проектирования, и он должен быть рассмотрен на одном из этих этапов разработки системы.
Выбрав подход, придерживайтесь его неукоснительно. Если вы решили обраба#
тывать ошибки на высоком уровне, а в низкоуровневом коде просто сообщать о них, удостоверьтесь, что высокоуровневый код действительно их обрабатывает!
Некоторые языки позволяют игнорировать возвращаемое функцией значение (в
C++ вы не обязаны что#то то делать с возвращенным результатом), но не игнори#
руйте информацию об ошибке! Проверяйте значение, возвращаемое из функции.
Даже если вы считаете, что ошибка в функции возникнуть не может, все равно проверяйте. Весь смысл защитного программирования в защите от ошибок, ко#
торых вы не ожидаете.
Эти принципы относятся к системным функциям, так же как и вашим собствен#
ным. Если только архитектура ПО не предусматривает игнорирования сбоев сис#
темных вызовов, проверяйте коды ошибок после каждого такого вызова. При обнаружении ошибки укажите ее номер и описание.