[[toc]]
# 1 排版
## 1-1:!!!#ff0000 程序块要采用缩进风格编写,缩进的空格数为4个。!!!
## 1-2: /相对独立的程序块之间、变量说明之后必须加空行。/
## 1-3: /较长的语句(>80字符)要分成多行书写,长表达式要在低优先级操作符处划分新行,操作符放在新行之首,划分出的新行要进行适当的缩进,使排版整齐,语句可读。/
```
//Bad
report_or_not_flag = ((taskno < MAX_ACT_TASK_NUMBER)&& (n7stat_stat_item_valid (stat_item))&& (act_task_table[taskno].result_data != 0));
//Good
report_or_not_flag = ((taskno < MAX_ACT_TASK_NUMBER)
&& (n7stat_stat_item_valid (stat_item))
&& (act_task_table[taskno].result_data != 0));
```
## 1-4: /循环、判断等语句中若有较长的表达式或语句,则要进行适应的划分,长表达式要在低优先级操作符处划分新行,操作符放在新行之首。/
```
//Bad
if ((taskno < max_act_task_number)&& (n7stat_stat_item_valid (stat_item)))
{
... // program code
}
for (i = 0, j = 0; (i < BufferKeyword[word_index].word_length)&& (j < NewKeyword.word_length); i++, j++)
{
... // program code
}
//Good
if ((taskno < max_act_task_number)
&& (n7stat_stat_item_valid (stat_item)))
{
... // program code
}
for (i = 0, j = 0; (i < BufferKeyword[word_index].word_length)
&& (j < NewKeyword.word_length); i++, j++)
{
... // program code
}
```
## 1-5: /若函数或过程中的参数较长,则要进行适当的划分。/
```
n7stat_str_compare((BYTE *) & stat_object,
(BYTE *) & (act_task_table[taskno].stat_object),
sizeof (_STAT_OBJECT));
n7stat_flash_act_duration( stat_item, frame_id *STAT_TASK_CHECK_NUMBER
+ index, stat_object );
```
## 1-6:!!!#ff0000 不允许把多个短语句写在一行中,即一行只写一条语句。!!!
## 1-7:!!!#ff0000 if、for、do、while、case、switch、default等语句自占一行,且if、for、do、while等语句的执行语句部分无论多少都要加括号{}。!!!
## 1-8:!!!#ff0000 对齐只使用空格键,不使用TAB键。!!!
说明:以免用不同的编辑器阅读程序时,因TAB键所设置的空格数目不同而造成程序布局不整齐,不要使用BC作为编辑器合版本,因为BC会自动将8个空格变为一个TAB键,因此使用BC合入的版本大多会将缩进变乱。
## 1-9:!!!#ff0000 函数或过程的开始、结构的定义及循环、判断等语句中的代码都要采用缩进风格,case语句下的情况处理语句也要遵从语句缩进要求。!!!
## 1-10:!!!#ff0000 程序块的分界符(如C/C++语言的大括号‘{’和‘}’)应各独占一行并且位于同一列,同时与引用它们的语句左对齐。在函数体的开始、类的定义、结构的定义、枚举的定义以及if、for、do、while、switch、case语句中的程序都要采用如上的缩进方式。!!!
```
//Bad
## 示例:如下例子不符合规范。
for (...) {
... // program code
}
if (...)
{
... // program code
}
void example_fun( void )
{
... // program code
}
//Good
应如下书写
for (...)
{
... // program code
}
if (...)
{
... // program code
}
void example_fun( void )
{
... // program code
}
```
## 1-11:!!!#ff0000 在两个以上的关键字、变量、常量进行对等操作时,它们之间的操作符之前、之后或者前后要加空格;进行非对等操作时,如果是关系密切的立即操作符(如->),后不应加空格。!!!
说明:采用这种松散方式编写代码的目的是使代码更加清晰。
由于留空格所产生的清晰性是相对的,所以,在已经非常清晰的语句中没有必要再留空格.如括号内侧(即左括号后面和右括号前面)不需要加空格,多重括号间不必加空格,因为在C/C++语言中括号已经是最清晰的标志了。
在长语句中,如果需要加的空格非常多,那么应该保持整体清晰,而在局部不加空格。给操作符留空格时不要连续留两个以上空格。
```
//(1) 逗号、分号只在后面加空格。
int a, b, c;
//(2)比较操作符, 赋值操作符"="、 "+=",算术操作符"+"、"%",逻辑操作符"&&"、"&",位域操作符"<<"、"^"等双目操作符的前后加空格。
if (current_time >= MAX_TIME_VALUE)
a = b + c;
a *= 2;
a = b ^ 2;
//(3)"!"、"~"、"++"、"--"、"&"(地址运算符)等单目操作符前后不加空格。
*p = 'a'; // 内容操作"*"与内容之间
flag = !isEmpty; // 非操作"!"与内容之间
p = &mem; // 地址操作"&" 与内容之间
i++; // "++","--"与内容之间
//(4)"->"、"."前后不加空格。
p->id = pid; // "->"指针前后不加空格
//(5) if、for、while、switch等与后面的括号间应加空格,使if等关键字更为突出、明显。
if (a >= b && c > d)
```
# 2 注释
## 2-1: /一般情况下,源程序有效注释量必须在20%以上。/
## 2-2:!!!#ff0000 说明性文件(如头文件.h文件、.inc文件、.def文件、编译说明文件.cfg等)头部应进行注释,注释必须列出:版权说明、版本号、生成日期、作者、内容、功能、与其它文件的关系、修改日志等,头文件的注释中还应有函数功能简要说明。!!!
```
/*************************************************
Copyright (C), 1988-1999, Huawei Tech. Co., Ltd.
File name: // 文件名
Author: Version: Date: // 作者、版本及完成日期
Description: // 用于详细说明此程序文件完成的主要功能,与其他模块
// 或函数的接口,输出值、取值范围、含义及参数间的控
// 制、顺序、独立或依赖等关系
Others: // 其它内容的说明
Function List: // 主要函数列表,每条记录应包括函数名及功能简要说明
1. ....
History: // 修改历史记录列表,每条修改记录应包括修改日期、修改
// 者及修改内容简述
1. Date:
Author:
Modification:
2. ...
*************************************************/
```
## 2-3:!!!#ff0000 源文件头部应进行注释,列出:版权说明、版本号、生成日期、作者、模块目的/功能、主要函数及其功能、修改日志等。!!!
示例:下面这段源文件的头注释比较标准,当然,并不局限于此格式,但上述信息建议要包含在内。
说明:Description一项描述本文件的内容、功能、内部各部分之间的关系及本文件与其它文件关系等。History是修改历史记录列表,每条修改记录应包括修改日期、修改者及修改内容简述。
```
/************************************************************
Copyright (C), 1988-1999, Huawei Tech. Co., Ltd.
FileName: test.cpp
Author: Version : Date:
Description: // 模块描述
Version: // 版本信息
Function List: // 主要函数及其功能
1. -------
History: // 历史修改记录
<author> <time> <version > <desc>
David 96/10/12 1.0 build this moudle
***********************************************************/
```
## 2-4:函数头部应进行注释,列出:函数的目的/功能、输入参数、输出参数、返回值、调用关系(函数、表)等。
示例:下面这段函数的注释比较标准,当然,并不局限于此格式,但上述信息建议要包含在内。
```
/*************************************************
Function: // 函数名称
Description: // 函数功能、性能等的描述
Calls: // 被本函数调用的函数清单
Called By: // 调用本函数的函数清单
Table Accessed: // 被访问的表(此项仅对于牵扯到数据库操作的程序)
Table Updated: // 被修改的表(此项仅对于牵扯到数据库操作的程序)
Input: // 输入参数说明,包括每个参数的作
// 用、取值说明及参数间关系。
Output: // 对输出参数的说明。
Return: // 函数返回值的说明
Others: // 其它说明
*************************************************/
```
## 2-5:!!!#ff0000 边写代码边注释,修改代码同时修改相应的注释,以保证注释与代码的一致性。不再有用的注释要删除。!!!
## 2-6: /注释的内容要清楚、明了,含义准确,防止注释二义性。/
## 2-7: /避免在注释中使用缩写,特别是非常用缩写。/
说明:在使用缩写时或之前,应对缩写进行必要的说明。
## 2-8: /注释应与其描述的代码相近,对代码的注释应放在其上方或右方(对单条语句的注释)相邻位置,不可放在下面,如放于上方则需与其上面的代码用空行隔开。/
## 2-9: /对于所有有物理含义的变量、常量,如果其命名不是充分自注释的,在声明时都必须加以注释,说明其物理含义。变量、常量、宏的注释应放在其上方相邻位置或右方。/
## 2-10: /数据结构声明(包括数组、结构、类、枚举等),如果其命名不是充分自注释的,必须加以注释。对结构中的每个域的注释放在此域的右方。/
/示例:可按如下形式说明枚举/数据/联合结构。/
```
//Bad
/* sccp interface with sccp user primitive message name */
enum SCCP_USER_PRIMITIVE
{
N_UNITDATA_IND,
N_NOTICE_IND,
N_UNITDATA_REQ,
};
//Good
/* sccp interface with sccp user primitive message name */
enum SCCP_USER_PRIMITIVE
{
N_UNITDATA_IND, /* sccp notify sccp user unit data come */
N_NOTICE_IND, /* sccp notify user the No.7 network can not */
/* transmission this message */
N_UNITDATA_REQ, /* sccp user's unit data transmission request*/
};
```
## 2-11: /全局变量要有较详细的注释,包括对其功能、取值范围、哪些函数或过程存取它以及存取时注意事项等的说明。/
## 2-12: /注释与所描述内容进行同样的缩排。/
说明:可使程序排版整齐,并方便注释的阅读与理解。
```
示例:如下例子,排版不整齐,阅读稍感不方便。
void example_fun( void )
{
/* code one comments */
CodeBlock One
/* code two comments */
CodeBlock Two
}
应改为如下布局。
void example_fun( void )
{
/* code one comments */
CodeBlock One
/* code two comments */
CodeBlock Two
}
```
## 2-13: /将注释与其上面的代码用空行隔开。/
示例:如下例子,显得代码过于紧凑。
```
/* code one comments */
program code one
/* code two comments */
program code two
应如下书写
/* code one comments */
program code one
/* code two comments */
program code two
```
## 2-14: /对变量的定义和分支语句(条件分支、循环语句等)必须编写注释。/
## 2-15:!!!#ff0000 对于switch语句下的case语句,如果因为特殊情况需要处理完一个case后进入下一个case处理,必须在该case语句处理完、下一个case语句前加上明确的注释。说明:这样比较清楚程序编写者的意图,有效防止无故遗漏break语句。!!!
```
case CMD_FWD:
ProcessFwd();
/* now jump into case CMD_A */
case CMD_A:
ProcessA();
break;
//对于中间无处理的连续case,已能较清晰说明意图,不强制注释。
switch (cmd_flag)
{
case CMD_A:
case CMD_B:
{
ProcessCMD();
break;
}
……
}
```
## 2-16: /避免在一行代码或表达式的中间插入注释。/
## 2-17: /通过对函数或过程、变量、结构等正确的命名以及合理地组织代码的结构,使代码成为自注释的。/
说明:清晰准确的函数、变量等的命名,可增加代码可读性,并减少不必要的注释。
## 2-18: /在代码的功能、意图层次上进行注释,提供有用、额外的信息。/
## 2-19: /在程序块的结束行右方加注释标记,以表明某程序块的结束。/
## 2-20: /注释格式尽量统一,建议使用“/* …… */”。/
## 2-21: /注释应考虑程序易读及外观排版的因素,使用的语言若是中、英兼有的,建议多使用中文,除非能用非常流利准确的英文表达。/
## 2-22: /注释应放在其代码上方相邻位置或右方,不可放在下面。如放于上方则需与其上面的代码用空行隔开,且与下方代码缩进相同。/
```
//Good
/* active statistic task number */
#define MAX_ACT_TASK_NUMBER 1000
#define MAX_ACT_TASK_NUMBER 1000 /* active statistic task number */
可按如下形式说明枚举/数据/联合结构。
/* sccp interface with sccp user primitive message name */
enum SCCP_USER_PRIMITIVE
{
N_UNITDATA_IND, /* sccp notify sccp user unit data come */
N_NOTICE_IND, /* sccp notify user the No.7 network can not transmission this message */
N_UNITDATA_REQ, /* sccp user's unit data transmission request*/
};
```
## 2-23: / 避免在注释中使用缩写,除非是业界通用或子系统内标准化的缩写。/
## 2-24: /常见注释规范 /
文件头注释:
```
/**
* @file (本文件的文件名eg:mib.h)
* @brief (本文件实现的功能的简述)
* @version 1.1 (版本声明)
* @author (作者,eg:张三)
* @date (文件创建日期,eg:2010年12月15日)
*/
```
函数头注释:
```
/**
*@ Description:向接收方发送SET请求
* @param req - 指向整个SNMP SET 请求报文.
* @param ind - 需要处理的subrequest 索引.
* @return 成功:SNMP_ERROR_SUCCESS,失败:SNMP_ERROR_COMITFAIL
*/
Int commit_set_request(Request *req, int ind);
```
全局变量注释:
```
/** 模拟的Agent MIB */
agentpp_simulation_mib * g_agtSimMib;
```
函数头注释建议写到声明处。并非所有函数都必须写注释,建议针对这样的函数写注释:重要的、复杂的函数,提供外部使用的接口函数。
# 3 标识符、变量、函数、宏命名
**标识符命名**
## 3-1: /标识符的命名要清晰、明了,有明确含义,同时使用完整的单词或大家基本可以理解的缩写,避免使人产生误解。/
## 3-2: /命名中若使用特殊约定或缩写,则要有注释说明。/
说明:应该在源文件的开始之处,对文件中所使用的缩写或约定,特殊的缩写,进行必要的注释说明
## 3-3: /自己特有的命名风格,要自始至终保持一致,不可来回变化。/
## 3-4: /对于变量命名,禁止取单个字符(如i、j、k...),建议除了要有具体含义外,还能表明其变量类型、数据类型等,但i、j、k作局部循环变量是允许的。/
## 3-5: /命名规范必须与所使用的系统风格保持一致,并在同一项目中统一./
## 3-1: /除非必要,不要用数字或较奇怪的字符来定义标识符。/
## 3-2: /在同一软件产品内,应规划好接口部分标识符(变量、结构、函数及常量)的命名,防止编译、链接时产生冲突。/
说明:对接口部分的标识符应该有更严格限制,防止冲突。如可规定接口部分的变量与常量之前加上“模块”标识等。
## 3-3: /用正确的反义词组命名具有互斥意义的变量或相反动作的函数等。/
```
说明:下面是一些在软件中常用的反义词组。
add / remove begin / end create / destroy
insert / delete first / last get / release
increment / decrement put / get
add / delete lock / unlock open / close
min / max old / new start / stop
next / previous source / target show / hide
send / receive source / destination
cut / paste up / down
示例:
int min_sum;
int max_sum;
int add_user( BYTE *user_name );
int delete_user( BYTE *user_name );
```
## 3-4: /除了编译开关/头文件等特殊应用,应避免使用_EXAMPLE_TEST_之类以下划线开始和结尾的定义/ 。
## 3-5: / 除了常见的通用缩写以外,不使用单词缩写,不得使用汉语拼音。**/
## 3-6: /尽量避免名字中出现数字编号,除非逻辑上的确需要编号。/
** 变量命名 **
## 3-7: !!!#ff0000 全局变量应增加“g_”前缀, 静态变量应增加“s_”前缀。!!!
## 3-8: /禁止使用单字节命名变量,如运行定义i、j、k作为局部循环变量。/
## 3-9: /不建议使用匈牙利命名法。/
## 3-10: / 使用名词或者形容词+名词方式命名变量。/
**函数命名**
## 3-11: /函数命名应以函数要执行的动作命名,一般采用动词或者动词+名词的结构。/
## 3-12: !!!#ff0000 函数指针除了前缀,其他按照函数的命名规则命名!!!
**宏的命名**
## 3-13:!!!#ff0000 对于数值或者字符串等等常量的定义,建议采用全大写字母,单词之间加下划线„_‟的方式命名(枚举同样建议使用此方式定义)。!!!
## 3-14: /除了头文件或编译开关等特殊标识定义,宏定义不能使用下划线„_‟开头和结尾。/
# 4 可读性
## 4-1:!!!#ff0000 注意运算符的优先级,并用括号明确表达式的操作顺序,避免使用默认优先级。!!!
## 4-2: /避免使用不易理解的数字,用有意义的标识来替代。涉及物理状态或者含有物理意义的常量,不应直接使用数字,必须用有意义的枚举或宏来代替。/
## 4-3: /源程序中关系较为紧密的代码应尽可能相邻。/
说明:便于程序阅读和查找。
```
示例:以下代码布局不太合理。
rect.length = 10;
char_poi = str;
rect.width = 5;
若按如下形式书写,可能更清晰一些。rect.length = 10;rect.width = 5; char_poi = str;
```
## 4-4: /不要使用难懂的技巧性很高的语句,除非很有必要时。/
# 5 变量、结构
## 5-1: /去掉没必要的公共变量。/
说明:公共变量是增大模块间耦合的原因之一,故应减少没必要的公共变量以降低模块间的耦合度。
## 5-2: /仔细定义并明确公共变量的含义、作用、取值范围及公共变量间的关系。/
## 5-3: /明确公共变量与操作此公共变量的函数或过程的关系,如访问、修改及创建等。/
说明:明确过程操作变量的关系后,将有利于程序的进一步优化、单元测试、系统联调以及代码维护等。这种关系的说明可在注释或文档中描述。
## 5-4:!!!#ff0000 当向公共变量传递数据时,要十分小心,防止赋与不合理的值或越界等现象发生。!!!
## 5-5:!!!#ff0000 防止局部变量与公共变量同名。!!!
## 5-6:!!!#ff0000 严禁使用未经初始化的变量作为指针。!!!
说明:特别是在C/C++中引用未经赋值的指针,经常会引起系统崩溃。
## 5-7:!!!#ff0000 构造仅有一个模块或函数可以修改、创建,而其余有关模块或函数只访问的公共变量,防止多个不同模块或函数都可以修改、创建同一公共变量的现象。
说明:降低公共变量耦合度。!!!
## 5-8:!!!#ff0000 ~~使用严格形式定义的、可移植的数据类型,尽量不要使用与具体硬件或软件环境关系密切的变量~~。!!!
说明:使用标准的数据类型,有利于程序的移植。
```
示例:如下例子(在DOS下BC3.1环境中),在移植时可能产生问题。
void main()
{
register int index; // 寄存器变量
_AX = 0x4000; // _AX是BC3.1提供的寄存器“伪变量”
... // program code
}
```
## 5-9: /结构的功能要单一,是针对一种事务的抽象。/
说明:结构中的各元素应代表同一事务的不同侧面,而不应把描述没有关系或关系很弱的不同事务的元素放到同一结构中。
## 5-10: /不要设计面面俱到、非常灵活的数据结构。/
说明:面面俱到、灵活的数据结构反而容易引起误解和操作困难。
## 5-6: /不同结构间的关系不要过于复杂。/
说明:若两个结构间关系较复杂、密切,那么应合为一个结构。
## 5-7: /仔细设计结构中元素的布局与排列顺序,使结构容易理解、节省占用空间,并减少引起误用现象。/
## 5-8: /结构的设计要尽量考虑向前兼容和以后的版本升级,并为某些未来可能的应用保留余地(如预留一些空间等)。/
## 5-9: /留心具体语言及编译器处理不同数据类型的原则及有关细节。/
说明:如在C语言中,static局部变量将在内存“数据区”中生成,而非static局部变量将在“堆栈”中生成。这些细节对程序质量的保证非常重要。
## 5-10: /编程时,要注意数据类型的强制转换。/
说明:当进行数据类型强制转换时,其数据的意义、转换后的取值等都有可能发生变化,而这些细节若考虑不周,就很有可能留下隐患。
## 5-11: /对编译系统默认的数据类型转换,也要有充分的认识。/
## 5-12: /尽量减少没有必要的数据类型默认转换与强制转换。/
## 5-13: /合理地设计数据并使用自定义数据类型,避免数据间进行不必要的类型转换。/
## 5-14: /结构中元素的个数应适中。若结构中元素个数过多可考虑依据某种原则把元素组成不同的子结构,以减少原结构中元素的个数。/
说明:增加结构的可理解性、可操作性和可维护性。
## 5-15: /对自定义数据类型进行恰当命名,使它成为自描述性的,以提高代码可读性。注意其命名方式在同一产品中的统一。/
## 5-16: /一个变量只有一个功能,不能把一个变量用作多种用途。/
## 5-17: /结构功能单一;不要设计面面俱到的数据结构。/
## 5-18: /不用或者少用全局变量。/
## 5-19: /防止局部变量与全局变量同名/
## 5-20: /通讯过程中使用的结构,必须注意字节序。/
## 5-21: /严禁使用未经初始化的变量作为右值。/
## 5-22: /构造仅有一个模块或函数可以修改、创建,而其余有关模块或函数只访问的全局变量,防止多个不同模块或函数都可以修改、创建同一全局变量的现象。/
## 5-23: /在首次使用前初始化变量,初始化的地方离使用的地方越近越好。/
## 5-24: /明确全局变量的初始化顺序,避免跨模块的初始化依赖。/
# 6 函数、过程
## 6-1:!!!#ff0000 【必须】不得直接使用无长度限制的字符拷贝函数!!!
不应直接使用legacy的字符串拷贝、输入函数,如strcpy、strcat、sprintf、wcscpy、mbscpy等,这些函数的特征是:可以输出一长串字符串,而不限制长度。如果环境允许,应当使用其_s安全版本替代,或者使用n版本函数(如:snprintf,vsnprintf)。
若使用形如sscanf之类的函数时,在处理字符串输入时应当通过%10s这样的方式来严格限制字符串长度,同时确保字符串末尾有\0。如果环境允许,应当使用_s安全版本。
因此,在使用n系列拷贝函数时,要确保正确计算缓冲区长度,同时,如果你不确定是否代码在各个编译器下都能确保末尾有0时,建议可以适当增加1字节输入缓冲区,并将其置为\0,以保证输出的字符串结尾一定有\0。
一些需要注意的函数,例如`strncpy`和`_snprintf`是不安全的。 `strncpy`不应当被视为`strcpy`的n系列函数,它只是恰巧与其他n系列函数名字很像而已。`strncpy`在复制时,如果复制的长度超过n,不会在结尾补\0。
同样,`_snprintf`系列函数在超过或等于n时也不会以0结尾。如果后续使用非0结尾的字符串,可能泄露相邻的内容或者导致程序崩溃。
```
// Bad
char a[4] = {0};
_snprintf(a, 4, "%s", "AAAA");
foo = strlen(a);
// Good
char a[4] = {0};
_snprintf(a, sizeof(a), "%s", "AAAA");
a[sizeof(a) - 1] = '\0';
foo = strlen(a);
```
## 6-2:!!!#ff0000 【必须】创建进程类的函数的安全规范!!!
system、WinExec、CreateProcess、ShellExecute等启动进程类的函数,需要严格检查其参数。
启动进程需要加上双引号,错误例子:当存在`D:\program files\my.exe`的时候,my.exe会被启动。而foobar.exe不会启动。
```
// Bad
WinExec("D:\\program files\\my folder\\foobar.exe", SW_SHOW);
// Good
WinExec("\"D:\\program files\\my folder\\foobar.exe\"", SW_SHOW);
另外,如果启动时从用户输入、环境变量读取组合命令行时,还需要注意是否可能存在命令注入。 比如,当用户输入`1+1 && ls`时,执行的实际上是calc 1+1和ls 两个命令,导致命令注入。需要检查用户输入是否含有非法数据。
// Good
std::string cmdline = "ls ";
cmdline += user_input;
if(cmdline.find_first_not_of("1234567890.+-*/e ") == std::string::npos)
system(cmdline.c_str());
else
warning(...);
```
## 6-3:!!!#ff0000 【必须】尽量减少使用 _alloca 和可变长度数组!!!
_alloca 和[可变长度数组](https://zh.wikipedia.org/wiki/%E5%8F%AF%E5%8F%98%E9%95%BF%E6%95%B0%E7%BB%84)使用的内存量在编译期间不可知。尤其是在循环中使用时,根据编译器的实现不同,可能会导致:(1)栈溢出,即拒绝服务; (2)缺少栈内存测试的编译器实现可能导致申请到非栈内存,并导致内存损坏。这在栈比较小的程序上,例如IoT设备固件上影响尤为大。对于 C++,可变长度数组也属于非标准扩展,在代码规范中禁止使用。
错误示例:
```
// Bad
for (int i = 0; i < 100000; i++) {
char* foo = (char *)_alloca(0x10000);
..do something with foo ..;
}
void Foo(int size) {
char msg[size]; // 不可控的栈溢出风险!
}
// Good
// 改用动态分配的堆内存
for (int i = 0; i < 100000; i++) {
char * foo = (char *)malloc(0x10000);
..do something with foo ..;
if (foo_is_no_longer_needed) {
free(foo);
foo = NULL;
}
}
void Foo(int size) {
std::string msg(size, '\0'); // C++
char* msg = malloc(size); // C
}
```
## 6-4:!!!#ff0000 【必须】printf系列参数必须对应!!!
所有printf系列函数,如sprintf,snprintf,vprintf等必须对应控制符号和参数。
```
// Bad
const int buf_size = 1000;
char buffer_send_to_remote_client[buf_size] = {0};
snprintf(buffer_send_to_remote_client, buf_size, "%d: %p", id, some_string); // %p 应为 %s
buffer_send_to_remote_client[buf_size - 1] = '\0';
send_to_remote(buffer_send_to_remote_client);
// Good
const int buf_size = 1000;
char buffer_send_to_remote_client[buf_size] = {0};
snprintf(buffer_send_to_remote_client, buf_size, "%d: %s", id, some_string);
buffer_send_to_remote_client[buf_size - 1] = '\0';
send_to_remote(buffer_send_to_remote_client);
```
## 6-5:!!!#ff0000 【必须】防止泄露指针(包括%p)的值!!!
所有printf系列函数,要防止格式化完的字符串泄露程序布局信息。例如,如果将带有%p的字符串泄露给程序,则可能会破坏ASLR的防护效果。使得攻击者更容易攻破程序。
%p的值只应当在程序内使用,而不应当输出到外部或被外部以某种方式获取。
// Bad
// 如果这是暴露给客户的一个API:
```
uint64_t GetUniqueObjectId(const Foo* pobject) {
return (uint64_t)pobject;
}
// Good
uint64_t g_object_id = 0;
void Foo::Foo() {
this->object_id_ = g_object_id++;
}
// 如果这是暴露给客户的一个API:
uint64_t GetUniqueObjectId(const Foo* object) {
if (object)
return object->object_id_;
else
error(...);
}
```
## 6-6 :!!!#ff0000【必须】不应当把用户可修改的字符串作为printf系列函数的“format”参数!!!
如果用户可以控制字符串,则通过 %n %p 等内容,最坏情况下可以直接执行任意恶意代码。
在以下情况尤其需要注意: WIFI名,设备名……
```
snprintf(buf, sizeof(buf), wifi_name);
snprinf(buf, sizeof(buf), "%s", wifi_name);
```
## 6-7: !!!#ff0000 【必须】对数组delete时需要使用delete[]!!!
delete []操作符用于删除数组。delete操作符用于删除非数组对象。它们分别调用operator delete[]和operator delete。
在new[]返回的指针上调用delete将是取决于编译器的未定义行为。代码中存在对未定义行为的依赖是错误的。
```
// Bad
Foo* b = new Foo[5];
delete b; // trigger assert in DEBUG mode
// Good
Foo* b = new Foo[5];
delete[] b;
```
## 6-8: !!!#ff0000【必须】注意隐式符号转换!!!
两个无符号数相减为负数时,结果应当为一个很大的无符号数,但是小于int的无符号数在运算时可能会有预期外的隐式符号转换。
```
如果预期为8,则错误代码:
// Bad
unsigned short a = 1;
unsigned short b = 2;
if (a - b < 0) // a - b = -1 (signed int)
a = 6;
else
a = 8;
// Good
unsigned short a = 1;
unsigned short b = 2;
if ((unsigned int)a - (unsigned int)b < 0) // a - b = 0xffff (unsigned short)
a = 6;
else
a = 8;
```
## 6-9: !!!#ff0000 【必须】注意八进制问题!!!
代码对齐时应当使用空格或者编辑器自带的对齐功能,谨慎在数字前使用0来对齐代码,以免不当将某些内容转换为八进制。
例如,如果预期为20字节长度的缓冲区,则下列代码存在错误。buf2为020(OCT)长度,实际只有16(DEC)长度,在memcpy后越界:
```
// Bad
char buf1[1024] = {0};
char buf2[0020] = {0};
memcpy(buf2, somebuf, 19);
// Good
int access_mask = 0777; // oct, rwxrwxrwx
```
## 6-10: /对所调用函数的错误返回码要仔细、全面地处理。/
## 6-11: /明确函数功能,精确(而不是近似)地实现函数设计。/
## 6-12:!!!#ff0000 编写可重入函数时,应注意局部变量的使用(如编写C/C++语言的可重入函数时,应使用auto即缺省态局部变量或寄存器变量)。
说明:编写C/C++语言的可重入函数时,不应使用static局部变量,否则必须经过特殊处理,才能使函数具有可重入性。!!!
```
//Bad
int globalVariable = 0;
int nonReentrantFunction(int x) {
int result = 0;
globalVariable += x;
result = globalVariable * x;
return result;
}
//Good
int reentrantFunction(int x) {
auto int localVariable = 0;
localVariable += x;
int result = localVariable * x;
return result;
}
```
## 6-13:!!!#ff0000 编写可重入函数时,若使用全局变量,则应通过关中断、信号量(即P、V操作)等手段对其加以保护。!!!
说明:若对所使用的全局变量不加以保护,则此函数就不具有可重入性,即当多个进程调用此函数时,很有可能使有关全局变量变为不可知状态。
```
~~示例:假设Exam是int型全局变量,函数Squre_Exam返回Exam平方值。那么如下函数不具有可重入性。
unsigned int example( int para )
{
unsigned int temp;
Exam = para; // (**)
temp = Square_Exam( );
return temp;
}
此函数若被多个进程调用的话,其结果可能是未知的,因为当(**)语句刚执行完后,另外一个使用本函数的进程可能正好被激活,那么当新激活的进程执行到此函数时,将使Exam赋与另一个不同的para值,所以当控制重新回到“temp = Square_Exam( )”后,计算出的temp很可能不是预想中的结果。
此函数应如下改进。
unsigned int example( int para )
{
unsigned int temp;
[申请信号量操作] // 若申请不到“信号量”,说明另外的进程正处于
Exam = para; // 给Exam赋值并计算其平方过程中(即正在使用此
temp = Square_Exam( ); // 信号),本进程必须等待其释放信号后,才可继
[释放信号量操作] // 续执行。若申请到信号,则可继续执行,但其
// 它进程必须等待本进程释放信号量后,才能再使
// 用本信号。
return temp;
}
```
## 6-14:!!!#ff0000 ~~在同一项目组应明确规定对接口函数参数的合法性检查应由函数的调用者负责还是由接口函数本身负责,缺省是由函数调用者负责。~~!!!
说明:对于模块间接口函数的参数的合法性检查这一问题,往往有两个极端现象,即:要么是调用者和被调用者对参数均不作合法性检查,结果就遗漏了合法性检查这一必要的处理过程,造成问题隐患;要么就是调用者和被调用者均对参数进行合法性检查,这种情况虽不会造成问题,但产生了冗余代码,降低了效率。
## 6-15:!!!#ff0000 防止将函数的参数作为工作变量。!!!
说明:将函数的参数作为工作变量,有可能错误地改变参数内容,所以很危险。对必须改变的参数,最好先用局部变量代之,最后再将该局部变量的内容赋给该参数。
```
//Bad
void sum_data( unsigned int num, int *data, int *sum )
{
unsigned int count;
*sum = 0;
for (count = 0; count < num; count++)
{
*sum += data[count]; // sum成了工作变量,不太好。
}
}
//Good
void sum_data( unsigned int num, int *data, int *sum )
{
unsigned int count ;
int sum_temp;//在这定义了局部变量
sum_temp = 0;
for (count = 0; count < num; count ++)
{
sum_temp += data[count];
}
*sum = sum_temp;
}
```
## 6-16: /函数的规模尽量限制在200行以内,新增的函数应该尽量控制在50行内**(非空非注释行)。/
说明:不包括注释和空格行。
## 6-17: /一个函数仅完成一件功能。/
## 6-18: /为简单功能编写函数。/
## 6-19: /不要设计多用途面面俱到的函数。/
说明:多功能集于一身的函数,很可能使函数的理解、测试、维护等变得困难。
## 6-20: /函数的功能应该是可以预测的,也就是只要输入数据相同就应产生同样的输出。/
## 6-21:!!!#ff0000 尽量不要编写依赖于其他函数内部实现的函数。!!!
说明:此条为函数独立性的基本要求。由于目前大部分高级语言都是结构化的,所以通过具体语言的语法要求与编译器功能,基本就可以防止这种情况发生。但在汇编语言中,由于其灵活性,很可能使函数出现这种情况。
```
... // 程序代码
proc Print_Msg // 过程(函数)Print_Msg
... // 程序代码
jmp LABEL
... // 程序代码
endp
proc Input_Msg // 过程(函数)Input_Msg
... // 程序代码
LABEL:
... // 程序代码
endp
示例:左边是在DOS下TASM的汇编程序例子。过程Print_Msg的实现依赖于Input_Msg的具体实现,这种程序是非结构化的,难以维护、修改。
```
## 6-22:!!!#ff0000 避免设计多参数函数,不使用的参数从接口中去掉。!!!
说明:目的减少函数间接口的复杂度。
## 6-23:!!!#ff0000 非调度函数应减少或防止控制参数,尽量只使用数据参数。!!!
说明:本建议目的是防止函数间的控制耦合。调度函数是指根据输入的消息类型或控制命令,来启动相应的功能实体(即函数或过程),而本身并不完成具体功能。控制参数是指改变函数功能行为的参数,即函数要根据此参数来决定具体怎样工作。非调度函数的控制参数增加了函数间的控制耦合,很可能使函数间的耦合度增大,并使函数的功能不唯一。
## 6-24:!!!#ff0000 检查函数所有参数输入的有效性。!!!
## 6-25:!!!#ff0000 检查函数所有非参数输入的有效性,如数据文件、公共变量等。!!!
说明:函数的输入主要有两种:一种是参数输入;另一种是全局变量、数据文件的输入,即非参数输入。函数在使用输入之前,应进行必要的检查。
## 6-26: /函数名应准确描述函数的功能。/
## 6-27: /使用动宾词组为执行某操作的函数命名。如果是OOP方法,可以只有动词(名词是对象本身)。/
```
示例:参照如下方式命名函数。
void print_record( unsigned int rec_ind ) ;
int input_record( void ) ;
unsigned char get_current_color( void ) ;
```
## 6-28: /避免使用无意义或含义不清的动词为函数命名。/
## 6-29: /函数的返回值要清楚、明了,让使用者不容易忽视错误情况/
## 6-30: /除非必要,最好不要把与函数返回值类型不同的变量,以编译系统默认的转换方式或强制的转换方式作为返回值返回。/
## 6-31: /让函数在调用点显得易懂、容易理解。/
## 6-32: /在调用函数填写参数时,应尽量减少没有必要的默认数据类型转换或强制数据类型转换。/
说明:因为数据类型转换或多或少存在危险。
## 6-33: /避免函数中不必要语句,防止程序中的垃圾代码。/
说明:程序中的垃圾代码不仅占用额外的空间,而且还常常影响程序的功能与性能,很可能给程序的测试、维护等造成不必要的麻烦。
## 6-34:!!!#ff0000 防止把没有关联的语句放到一个函数中。!!!
说明:防止函数或过程内出现随机内聚。随机内聚是指将没有关联或关联很弱的语句放到同一个函数或过程中。随机内聚给函数或过程的维护、测试及以后的升级等造成了不便,同时也使函数或过程的功能不明确。
## 6-35:!!!#ff0000 如果多段代码重复做同一件事情,那么在函数的划分上可能存在问题。!!!
说明:若此段代码各语句之间有实质性关联并且是完成同一件功能的,那么可考虑把此段代码构造成一个新的函数。
```
//Bad
#include <stdio.h>
void processA() {
// 执行一些操作A
printf("Operation A\n");
}
void processB() {
// 执行一些操作B
printf("Operation B\n");
}
void processC() {
// 执行一些操作C
printf("Operation C\n");
}
void main() {
processA();
processB();
processC();
processA();
return 0;
}
//Good
#include <stdio.h>
void processA() {
// 执行一些操作A
printf("Operation A\n");
}
void processB() {
// 执行一些操作B
printf("Operation B\n");
}
void processC() {
// 执行一些操作C
printf("Operation C\n");
}
void performOperations() {
processA();
processB();
processC();
}
void main() {
performOperations();
performOperations();
return 0;
}
```
## 6-36:!!!#ff0000 功能不明确\较小的函数,特别是仅有一个上级函数调用它时,应考虑把它合并到上级函数中,而不必单独存在。!!!
```
//Bad
#include <stdio.h>
void printMessage() {
printf("Hello, world!\n");
}
void processMessage() {
// 执行一些处理操作
printMessage(); // 调用printMessage函数
}
int main() {
processMessage();
return 0;
}
//Good
#include <stdio.h>
void processMessage() {
// 执行一些处理操作
printf("Hello, world!\n"); // 直接在上级函数中打印消息
}
int main() {
processMessage();
return 0;
}
```
## 6-37:~~!!!#ff0000 设计高扇入、合理扇出(小于7)的函数。!!!~~
说明:(扇出是指一个函数直接调用(控制)其它函数的数目,而扇入是指有多少上级函数调用它). 扇出过大,表明函数过分复杂,需要控制和协调过多的下级函数;而扇出过小,如总是1,表明函数的调用层次可能过多,这样不利程序阅读和函数结构的分析,并且程序运行时会对系统资源如堆栈空间等造成压力。函数较合理的扇出(调度函数除外)通常是3-5。
## 6-38:!!!#ff0000 减少函数本身或函数间的递归调用。!!!
说明:递归调用特别是函数间的递归调用(如A->B->C->A),影响程序的可理解性;递归调用一般都占用较多的系统资源(如栈空间);递归调用对程序的测试有一定影响。故除非为某些算法或功能的实现方便,应减少没必要的递归调用。
```
//Bad
#include <stdio.h>
int factorial(int n) {
if (n == 0) {
return 1;
} else {
return n * factorial(n - 1); // 递归调用
}
}
int main() {
int result = factorial(5);
printf("Result: %d\n", result);
return 0;
}
//Good
//我们使用循环来计算阶乘,而不是使用递归调用。
//通过使用循环,我们避免了函数本身的递归调用,从而减少了栈的使用和潜在的栈溢出问题。
#include <stdio.h>
int factorial(int n) {
int result = 1;
while (n > 0) {
result *= n;
n--;
}
return result;
}
int main() {
int result = factorial(5);
printf("Result: %d\n", result);
return 0;
}
```
## 6-39:!!!#ff0000 仔细分析模块的功能及性能需求,并进一步细分,同时若有必要画出有关数据流图,据此来进行模块的函数划分与组织。!!!
说明:函数的划分与组织是模块的实现过程中很关键的步骤,如何划分出合理的函数结构,关系到模块的最终效率和可维护性、可测性等。根据模块的功能图或数据流图映射出函数结构是常用方法之一。
## 6-40:!!!#ff0000 改进模块中函数的结构,降低函数间的耦合度,并提高函数的独立性以及代码可读性、效率和可维护性。优化函数结构时,要遵守以下原则:!!!
(1)不能影响模块功能的实现。
(2)仔细考查模块或函数出错处理及模块的性能要求并进行完善。
(3)通过分解或合并函数来改进软件结构。
(4)考查函数的规模,过大的要进行分解。
(5)降低函数间接口的复杂度。
(6)不同层次的函数调用要有较合理的扇入、扇出。
(7)函数功能应可预测。
(8)提高函数内聚。(单一功能的函数内聚最高)
说明:对初步划分后的函数结构应进行改进、优化,使之更为合理。
## 6-41:!!!#ff0000 在多任务操作系统的环境下编程,要注意函数可重入性的构造。!!!
说明:可重入性是指函数可以被多个任务进程调用。{在多任务操作系统中,函数是否具有可重入性是非常重要的,因为这是多个进程可以共用此函数的必要条件。另外,编译器是否提供可重入函数库,与它所服务的操作系统有关,只有操作系统是多任务时,编译器才有可能提供可重入函数库。(如DOS下BC和MSC等就不具备可重入函数库,因为DOS是单用户单任务操作系统)。}
```
//Bad
#include <stdio.h>
int sharedVariable = 0; // 共享变量
void incrementSharedVariable() {
sharedVariable++;
}
int getSharedVariable() {
return sharedVariable;
}
int main() {
// 假设这是一个多任务操作系统的环境
// 任务1调用incrementSharedVariable
incrementSharedVariable();
// 任务2调用getSharedVariable
int result = getSharedVariable();
printf("Result: %d\n", result);
return 0;
}
//Good
#include <stdio.h>
#include <pthread.h>
pthread_mutex_t mutex; // 互斥锁
void incrementSharedVariable() {
pthread_mutex_lock(&mutex); // 加锁
// 执行增加共享变量的操作
pthread_mutex_unlock(&mutex); // 解锁
}
int getSharedVariable() {
pthread_mutex_lock(&mutex); // 加锁
// 执行获取共享变量的操作
pthread_mutex_unlock(&mutex); // 解锁
return value;
}
int main() {
pthread_mutex_init(&mutex, NULL); // 初始化互斥锁
// 假设这是一个多任务操作系统的环境
// 任务1调用incrementSharedVariable
incrementSharedVariable();
// 任务2调用getSharedVariable
int result = getSharedVariable();
printf("Result: %d\n", result);
pthread_mutex_destroy(&mutex); // 销毁互斥锁
return 0;
}
```
## 6-42:!!!#ff0000 避免使用BOOL参数。(C语言中没有BOOL)!!!
说明:原因有二,其一是BOOL参数值无意义,TURE/FALSE的含义是非常模糊的,在调用时很难知道该参数到底传达的是什么意思;其二是BOOL参数值不利于扩充。还有NULL也是一个无意义的单词。
```
//Bad
#include <stdio.h>
void processValue(BOOL flag, int value) {
if (flag) {
printf("Value: %d\n", value);
}
}
int main() {
int value = 10;
processValue(1, value); // 使用1作为BOOL参数
return 0;
}
///Good
#include <stdio.h>
void processValue(int flag, int value) {
if (flag) {
printf("Value: %d\n", value);
}
}
int main() {
int value = 10;
processValue(1, value); // 使用非零值作为布尔参数
return 0;
}
```
## 6-43:!!!#ff0000 对于提供了返回值的函数,在引用时最好使用其返回值。!!!
## 6-44:!!!#ff0000 当一个过程(函数)中对较长变量(一般是结构的成员)有较多引用时,可以用一个意义相当的宏代替。 !!!
```
说明:这样可以增加编程效率和程序的可读性。
示例:在某过程中较多引用TheReceiveBuffer[FirstSocket].byDataPtr,
则可以通过以下宏定义来代替:
# define pSOCKDATA TheReceiveBuffer[FirstScoket].byDataPtr
```
## 6-45: /重复代码应该尽可能提炼成函数。重复代码应该尽可能提炼成函数。/
## 6-46:!!!#ff0000 避免函数的代码块嵌套过深,新增函数的代码块嵌套不超过4层。!!!
## 6-47:!!!#ff0000 可重入函数应避免使用共享变量;若需要使用,则应通过互斥手段(关中断、信号量)对其加以保护。!!!
```
//Bad
#include <stdio.h>
int sharedVariable = 0; // 共享变量
void incrementSharedVariable() {
sharedVariable++;
}
int getSharedVariable() {
return sharedVariable;
}
int main() {
incrementSharedVariable();
int result = getSharedVariable();
printf("Result: %d\n", result);
return 0;
}
//Good
#include <stdio.h>
#include <pthread.h>
int sharedVariable = 0; // 共享变量
pthread_mutex_t mutex; // 互斥锁
void incrementSharedVariable() {
pthread_mutex_lock(&mutex); // 加锁
sharedVariable++;
pthread_mutex_unlock(&mutex); // 解锁
}
int getSharedVariable() {
pthread_mutex_lock(&mutex); // 加锁
int value = sharedVariable;
pthread_mutex_unlock(&mutex); // 解锁
return value;
}
int main() {
pthread_mutex_init(&mutex, NULL); // 初始化互斥锁
incrementSharedVariable();
int result = getSharedVariable();
printf("Result: %d\n", result);
pthread_mutex_destroy(&mutex); // 销毁互斥锁
return 0;
}
```
## 6-48:!!!#ff0000 对参数的合法性检查,由调用者负责还是由接口函数负责,应在项目组/模块内应统一规定。 缺省由调用者负责。!!!
```
//Bad
#include <stdio.h>
// 错误的接口函数设计:依赖调用者进行参数合法性检查
void divide(int dividend, int divisor, int* result) {
if (divisor != 0) {
*result = dividend / divisor;
}
}
int main() {
int dividend = 10;
int divisor = 0;
int result;
divide(dividend, divisor, &result);
printf("Result: %d\n", result);
return 0;
}
// 正确的接口函数设计:由接口函数负责参数合法性检查
#include <stdio.h>
#include <stdbool.h>
bool divide(int dividend, int divisor, int* result) {
if (divisor != 0) {
*result = dividend / divisor;
return true;
}
return false;
}
int main() {
int dividend = 10;
int divisor = 0;
int result;
if (divide(dividend, divisor, &result)) {
printf("Result: %d\n", result);
} else {
printf("Error: Division by zero\n");
}
return 0;
}
```
## 6-49:!!!#ff0000 设计高扇入,合理扇出(小于7)的函数。!!!
```
//Bad
#include <stdio.h>
// 错误的函数设计:高扇入和高扇出
int calculateSum(int a, int b, int c, int d, int e, int f, int g) {
int sum = a + b + c + d + e + f + g;
return sum;
}
//Good
#include <stdio.h>
// 正确的函数设计:合理扇入和合理扇出
int calculateSum(int numbers[], int count) {
int sum = 0;
for (int i = 0; i < count; i++) {
sum += numbers[i];
}
return sum;
}
```
## 6-50: / 废弃代码(没有被调用的函数和变量)要及时清除。/
## 6-51: /函数不变参数使用const/
## 6-51:!!!#ff0000 函数应避免使用全局变量、静态局部变量和I/O操作,不可避免的地方应集中使用。!!!
```
//Bad
#include <stdio.h>
//全局变量的使用会导致函数之间的耦合性增加,使得代码难以理解和维护。此外,全局变量的修改可能会导致并发问题和不确定的行为。
int count = 0; // 全局变量
void incrementCount() {
count++;
}
void printCount() {
printf("Count: %d\n", count);
}
int main() {
incrementCount();
printCount();
return 0;
}
//Good
//将计数作为函数的参数传递,并将其作为返回值或通过引用进行修改。这样可以避免使用全局变量,提高代码的可读性和可维护性。
//此外,我们将 I/O 操作限制在 printCount 函数中,避免了在多个函数中进行 I/O 操作的混乱。
#include <stdio.h>
int incrementCount(int count) {
return count + 1;
}
void printCount(int count) {
printf("Count: %d\n", count);
}
int main() {
int count = 0;
count = incrementCount(count);
printCount(count);
return 0;
}
```
## 6-53:!!!#ff0000 除打印类函数外,不要使用可变长参函数。!!!
```
//Bad
#include <stdio.h>
#include <stdarg.h>
// 错误的可变长参数函数
int sum(int count, ...) {
int result = 0;
}
//Good
int sum(int arr[], int count) {
int result = 0;
}
```
## 6-54:!!!#ff0000 在源文件范围内声明和定义的所有函数,除非外部可见,否则应该增加static关键字。!!!
```
//在源文件范围内声明了一个 add 函数,但没有使用 static 关键字进行修饰。
//这意味着该函数在整个程序中都是可见的,可以被其他文件访问到。这可能会导致命名冲突或意外的符号重定义。
//Bad
#include <stdio.h>
// 错误的函数声明:没有使用 static 关键字
int add(int a, int b) {
return a + b;
}
int main() {
int result = add(5, 10);
printf("Result: %d\n", result);
return 0;
}
//Good
#include <stdio.h>
// 正确的函数声明:使用 static 关键字
static int add(int a, int b) {
return a + b;
}
```
# 7 可测性
## 7-1: /在同一项目组或产品组内,要有一套统一的为集成测试与系统联调准备的调测开关及相应打印函数,并且要有详细的说明。/
说明:本规则是针对项目组或产品组的。
## 7-2: /在同一项目组或产品组内,调测打印出的信息串的格式要有统一的形式。信息串中至少要有所在模块名(或源文件名)及行号。/
说明:统一的调测信息格式便于集成测试。
## 7-3: /编程的同时要为单元测试选择恰当的测试点,并仔细构造测试代码、测试用例,同时给出明确的注释说明。测试代码部分应作为(模块中的)一个子模块,以方便测试代码在模块中的安装与拆卸(通过调测开关)。/
说明:为单元测试而准备。
## 7-4: /在进行集成测试/系统联调之前,要构造好测试环境、测试项目及测试用例,同时仔细分析并优化测试用例,以提高测试效率。/
说明:好的测试用例应尽可能模拟出程序所遇到的边界值、各种复杂环境及一些极端情况等。
## 7-5: /使用断言来发现软件问题,提高代码可测性。/
说明:断言是对某种假设条件进行检查(可理解为若条件成立则无动作,否则应报告),它可以快速发现并定位软件问题,同时对系统错误进行自动报警。断言可以对在系统中隐藏很深,用其它手段极难发现的问题进行定位,从而缩短软件问题定位时间,提高系统的可测性。实际应用时,可根据具体情况灵活地设计断言。
```
示例:下面是C语言中的一个断言,用宏来设计的。(其中NULL为0L)
#ifdef _EXAM_ASSERT_TEST_ // 若使用断言测试
void exam_assert( char * file_name, unsigned int line_no )
{
printf( "\n[EXAM]Assert failed: %s, line %u\n",
file_name, line_no );
abort( );
}
#define EXAM_ASSERT( condition )
if (condition) // 若条件成立,则无动作
NULL;
else // 否则报告
exam_assert( __FILE__, __LINE__ )
#else // 若不使用断言测试
#define EXAM_ASSERT(condition) NULL
#endif /* end of ASSERT */
```
## 7-6: /用断言来检查程序正常运行时不应发生但在调测时有可能发生的非法情况。/
## 7-7: /不能用断言来检查最终产品肯定会出现且必须处理的错误情况。/
说明:断言是用来处理不应该发生的错误情况的,对于可能会发生的且必须处理的情况要写防错程序,而不是断言。如某模块收到其它模块或链路上的消息后,要对消息的合理性进行检查,此过程为正常的错误检查,不能用断言来实现。
## 7-8: /对较复杂的断言加上明确的注释。/
说明:为复杂的断言加注释,可澄清断言含义并减少不必要的误用。
## 7-9: /用断言确认函数的参数。/
示例:假设某函数参数中有一个指针,那么使用指针前可对它检查,如下。
```
int exam_fun( unsigned char *str )
{
EXAM_ASSERT( str != NULL ); // 用断言检查“假设指针不为空”这个条件
... //other program code
}
```
## 7-10: /用断言保证没有定义的特性或功能不被使用。/
示例:假设某通信模块在设计时,准备提供“无连接”和“连接” 这两种业务。但当前的版本中仅实现了“无连接”业务,且在此版本的正式发行版中,用户(上层模块)不应产生“连接”业务的请求,那么在测试时可用断言检查用户是否使用“连接”业务。如下。
```
#define EXAM_CONNECTIONLESS 0 // 无连接业务
#define EXAM_CONNECTION 1 // 连接业务
int msg_process( EXAM_MESSAGE *msg )
{
unsigned char service; /* message service class */
EXAM_ASSERT( msg != NULL );
service = get_msg_service_class( msg );
EXAM_ASSERT( service != EXAM_CONNECTION ); // 假设不使用连接业务
... //other program code
}
```
## 7-11: /用断言对程序开发环境(OS/Compiler/Hardware)的假设进行检查。/
说明:程序运行时所需的软硬件环境及配置要求,不能用断言来检查,而必须由一段专门代码处理。用断言仅可对程序开发环境中的假设及所配置的某版本软硬件是否具有某种功能的假设进行检查。如某网卡是否在系统运行环境中配置了,应由程序中正式代码来检查;而此网卡是否具有某设想的功能,则可由断言来检查。
对编译器提供的功能及特性假设可用断言检查,原因是软件最终产品(即运行代码或机器码)与编译器已没有任何直接关系,即软件运行过程中(注意不是编译过程中)不会也不应该对编译器的功能提出任何需求。
示例:用断言检查编译器的int型数据占用的内存空间是否为2,如下。
EXAM_ASSERT( sizeof( int ) == 2 );
## 7-12: /正式软件产品中应把断言及其它调测代码去掉(即把有关的调测开关关掉)。/
说明:加快软件运行速度。
## 7-13: /在软件系统中设置与取消有关测试手段,不能对软件实现的功能等产生影响。/
说明:即有测试代码的软件和关掉测试代码的软件,在功能行为上应一致。
## 7-14: /用调测开关来切换软件的DEBUG版和正式版,而不要同时存在正式版本和DEBUG版本的不同源文件,以减少维护的难度。/
## 7-15: /软件的DEBUG版本和发行版本应该统一维护,不允许分家,并且要时刻注意保证两个版本在实现功能上的一致性。/
## 7-16: /在编写代码之前,应预先设计好程序调试与测试的方法和手段,并设计好各种调测开关及相应测试代码如打印函数等。/
说明:程序的调试与测试是软件生存周期中很重要的一个阶段,如何对软件进行较全面、高率的测试并尽可能地找出软件中的错误就成为很关键的问题。因此在编写源代码之前,除了要有一套比较完善的测试计划外,还应设计出一系列代码测试手段,为单元测试、集成测试及系统联调提供方便。
## 7-17: /调测开关应分为不同级别和类型。/
说明:调测开关的设置及分类应从以下几方面考虑:针对模块或系统某部分代码的调测;针对模块或系统某功能的调测;出于某种其它目的,如对性能、容量等的测试。这样做便于软件功能的调测,并且便于模块的单元测试、系统联调等。
## 7-18: /编写防错程序,然后在处理错误之后可用断言宣布发生错误。/
示例:假如某模块收到通信链路上的消息,则应对消息的合法性进行检查,若消息类别不是通信协议中规定的,则应进行出错处理,之后可用断言报告,如下例。
```
#ifdef _EXAM_ASSERT_TEST_ // 若使用断言测试
/* Notice: this function does not call 'abort' to exit program */
void assert_report( char * file_name, unsigned int line_no )
{
printf( "\n[EXAM]Error Report: %s, line %u\n",
file_name, line_no );
}
#define ASSERT_REPORT( condition )
if ( condition ) // 若条件成立,则无动作
NULL;
else // 否则报告
assert_report ( __FILE__, __LINE__ )
#else // 若不使用断言测试
#define ASSERT_REPORT( condition ) NULL
#endif /* end of ASSERT */
int msg_handle( unsigned char msg_name, unsigned char * msg )
{
switch( msg_name )
{
case MSG_ONE:
... // 消息MSG_ONE处理
return MSG_HANDLE_SUCCESS;
... // 其它合法消息处理
default:
... // 消息出错处理
ASSERT_REPORT( FALSE ); // “合法”消息不成立,报告
return MSG_HANDLE_ERROR;
}
}
```
# 8 程序效率
## 8-1: /编程时要经常注意代码的效率。通过对数据结构、程序算法的优化来提高效率。/
说明:代码效率分为全局效率、局部效率、时间效率及空间效率。全局效率是站在整个系统的角度上的系统效率;局部效率是站在模块或函数角度上的效率;时间效率是程序处理输入任务所需的时间长短;空间效率是程序所需内存空间,如机器代码空间大小、数据空间大小、栈空间大小等。
## 8-2: /在保证软件系统的正确性、稳定性、可读性及可测性的前提下,提高代码效率。/
说明:不能一味地追求代码效率,而对软件的正确性、稳定性、可读性及可测性造成影响。
## 8-3: /局部效率应为全局效率服务,不能因为提高局部效率而对全局效率造成影响。/
## 8-4: /通过对系统数据结构的划分与组织的改进,以及对程序算法的优化来提高空间效率。/
说明:这种方式是解决软件空间效率的根本办法。
```
示例:如下记录学生学习成绩的结构不合理。
typedef unsigned char BYTE;
typedef unsigned short WORD;
typedef struct STUDENT_SCORE_STRU
{
BYTE name[8];
BYTE age;
BYTE sex;
BYTE class;
BYTE subject;
float score;
} STUDENT_SCORE;
因为每位学生都有多科学习成绩,故如上结构将占用较大空间。应如下改进(分为两个结构),总的存贮空间将变小,操作也变得更方便。
typedef struct STUDENT_STRU
{
BYTE name[8];
BYTE age;
BYTE sex;
BYTE class;
} STUDENT;
typedef struct STUDENT_SCORE_STRU
{
WORD student_index;
BYTE subject;
float score;
} STUDENT_SCORE;
```
## 8-5:!!!#ff0000 循环体内工作量最小化。!!!
说明:应仔细考虑循环体内的语句是否可以放在循环体之外,使循环体内工作量最小,从而提高程序的时间效率。
示例:如下代码效率不高。
```
//Bad
for (ind = 0; ind < MAX_ADD_NUMBER; ind++)
{
sum += ind;
back_sum = sum; /* backup sum */
}
//Good
语句“back_sum = sum;”完全可以放在for语句之后,如下。
for (ind = 0; ind < MAX_ADD_NUMBER; ind++)
{
sum += ind;
}
back_sum = sum; /* backup sum */
```
## 8-6: /仔细分析有关算法,并进行优化。/
## 8-7: /仔细考查、分析系统及模块处理输入(如事务、消息等)的方式,并加以改进。/
## 8-8: /对模块中函数的划分及组织方式进行分析、优化,改进模块中函数的组织结构,提高程序效率。/
说明:软件系统的效率主要与算法、处理任务方式、系统功能及函数结构有很大关系,仅在代码上下功夫一般不能解决根本问题。
## 8-9: /编程时,要随时留心代码效率;优化代码时,要考虑周全。/
## 8-10: /不应花过多的时间拼命地提高调用不很频繁的函数代码效率。/
说明:对代码优化可提高效率,但若考虑不周很有可能引起严重后果。
## 8-11: /要仔细地构造或直接用汇编编写调用频繁或性能要求极高的函数。/
## 8-12: /在保证程序质量的前提下,通过压缩代码量、去掉不必要代码以及减少不必要的局部和全局变量,来提高空间效率。/
说明:这种方式对提高空间效率可起到一定作用,但往往不能解决根本问题。
## 8-13: /在多重循环中,应将最忙的循环放在最内层。/
## 8-14: /尽量减少循环嵌套层次。/
## 8-15: /避免循环体内含判断语句,应将循环语句置于判断语句的代码块之中。/
说明:目的是减少判断次数。一般情况,与循环变量无关的判断语句可以移到循环体外,而有关的则不可以。
```
示例:如下代码效率稍低。
for (ind = 0; ind < MAX_RECT_NUMBER; ind++)
{
if (data_type == RECT_AREA)
{
area_sum += rect_area[ind];
}
else
{
rect_length_sum += rect[ind].length;
rect_width_sum += rect[ind].width;
}
}
因为判断语句与循环变量无关,故可如下改进,以减少判断次数。
if (data_type == RECT_AREA)
{
for (ind = 0; ind < MAX_RECT_NUMBER; ind++)
{
area_sum += rect_area[ind];
}
}
else
{
for (ind = 0; ind < MAX_RECT_NUMBER; ind++)
{
rect_length_sum += rect[ind].length;
rect_width_sum += rect[ind].width;
}
}
```
## 8-16:尽量用乘法或其它方法代替除法,特别是浮点运算中的除法。
```
说明:浮点运算除法要占用较多CPU资源。
示例:如下表达式运算可能要占较多CPU资源。
#define PAI 3.1416
radius = circle_length / (2 * PAI);
应如下把浮点除法改为浮点乘法。
#define PAI_RECIPROCAL (1 / 3.1416 ) // 编译器编译时,将生成具体浮点数
radius = circle_length * PAI_RECIPROCAL / 2;
```
## 8-17: /不要一味追求紧凑的代码。/
说明:因为紧凑的代码并不代表高效的机器码。
## 8-12:!!!#ff0000 将不变条件的计算移到循环体外。!!!
```
//Bad
#include <stdio.h>
int main() {
int n = 1000;
int sum = 0;
// 错误的循环:在每次迭代中计算不变条件
for (int i = 0; i < n * 2; i++) {
if (i % 2 == 0) {
sum += i;
}
}
printf("Sum: %d\n", sum);
return 0;
}
//Good
int n = 1000;
int sum = 0;
int limit = n * 2;
// 正确的循环:将不变条件的计算移到循环体外,在每次迭代时就不需要重复计算不变条件,提高了循环的效率。
for (int i = 0; i < limit; i++) {
if (i % 2 == 0) {
sum += i;
}
}
```
## 8-12:!!!#ff0000 对于多维大数组,避免来回跳跃式访问数组成员。!!!
```
//Bad
#include <stdio.h>
#define ROWS 1000
#define COLS 1000
int main() {
int matrix[ROWS][COLS];
// 正常的赋值方式
for (int i = 0; i < ROWS; i++) {
for (int j = 0; j < COLS; j++) {
matrix[i][j] = i + j;
}
}
// 错误的访问方式:来回跳跃式访问数组成员,会出现缓存未命中的情况
for (int j = 0; j < COLS; j++) {
for (int i = 0; i < ROWS; i++) {
printf("%d ", matrix[i][j]);
}
printf("\n");
}
return 0;
}
//Good
// 正常的赋值方式
for (int i = 0; i < ROWS; i++) {
for (int j = 0; j < COLS; j++) {
matrix[i][j] = i + j;
}
}
// 正确的访问方式:按行遍历数组,利用了局部性原理
for (int i = 0; i < ROWS; i++) {
for (int j = 0; j < COLS; j++) {
printf("%d ", matrix[i][j]);
}
printf("\n");
}
```
## 8-12: !!!#ff0000 创建资源库,以减少分配对象的开销。!!!
说明:例如,使用线程池机制,避免线程频繁创建、销毁的系统调用;使用内存池,对于频繁申请、释放的小块内存,一次性申请一个大块的内存,当系统申请内存时,从内存池获取小块内存,使用完毕再释放到内存池中,避免内存申请释放的频繁系统调用.
```
//Bad
#include <iostream>
#include <vector>
class Object {
// 对象的定义
};
std::vector<Object*> resourcePool; // 错误:使用指针作为资源库
Object* createObject() {
Object* obj = new Object();
return obj;
}
void releaseObject(Object* obj) {
delete obj;
}
Object* getObjectFromPool() {
if (resourcePool.empty()) {
return createObject();
} else {
Object* obj = resourcePool.back();
resourcePool.pop_back();
return obj;
}
}
void returnObjectToPool(Object* obj) {
releaseObject(obj);
resourcePool.push_back(obj); // 错误:将已释放的对象放回资源库
}
int main() {
Object* obj1 = getObjectFromPool();
// 使用 obj1
returnObjectToPool(obj1); // 错误:将已释放的对象放回资源库
return 0;
}
//Good
#include <iostream>
#include <vector>
class Object {
// 对象的定义
};
std::vector<Object> resourcePool; // 正确:使用对象作为资源库
Object createObject() {
Object obj;
return obj;
}
Object getObjectFromPool() {
if (resourcePool.empty()) {
return createObject();
} else {
Object obj = resourcePool.back();
resourcePool.pop_back();
return obj;
}
}
void returnObjectToPool(Object obj) {
resourcePool.push_back(obj); // 正确:将对象放回资源库
}
int main() {
Object obj1 = getObjectFromPool();
// 使用 obj1
returnObjectToPool(obj1); // 正确:将对象放回资源库
return 0;
}
```
## 8-12:!!!#ff0000 将多次被调用的 “小函数”改为inline函数或者宏实现。!!!
说明: 如果编译器支持inline,可以采用inline函数。否则可以采用宏。
在做这种优化的时候一定要注意下面inline函数的优点:其一编译时不用展开,代码SIZE小。其二可以加断点,易于定位问题,例如对于引用计数加减的时候。其三函数编译时,编译器会做语法检查。三思而后行。
```
//Bad
//函数 add() 是一个常规的函数,被调用时会发生函数调用的开销。虽然这个函数很简单,但每次调用都会有额外的开销。
int add(int a, int b) {
return a + b;
}
//Good
//使用了宏定义来实现加法操作避免了函数调用的开销。每次调用加法操作时,都会直接进行文本替换,提高了执行效率。
#define ADD(a, b) ((a) + (b))
```
# 9 质量保证
## 9-1: /在软件设计过程中构筑软件质量。/
## 9-2: /代码质量保证优先原则/
(1)正确性,指程序要实现设计要求的功能。
(2)稳定性、安全性,指程序稳定、可靠、安全。
(3)可测试性,指程序要具有良好的可测试性。
(4)规范/可读性,指程序书写风格、命名规则等要符合规范。
(5)全局效率,指软件系统的整体效率。
(6)局部效率,指某个模块/子模块/函数的本身效率。
(7)个人表达方式/个人方便性,指个人编程习惯。
## 9-3: /只引用属于自己的存贮空间。/
说明:若模块封装的较好,那么一般不会发生非法引用他人的空间。
## 9-4:!!!#ff0000 防止引用已经释放的内存空间。!!!
```
//Bad
void processArray(int* arr) {
// 对数组进行一些操作
free(arr); // 错误:释放了内存空间,但仍然引用该内存空间
}
int main() {
int* myArray = createArray();
processArray(myArray);
// 错误:在已经释放的内存空间上进行操作
printf("%d\n", myArray[0]);
return 0;
}
//Good
void processArray(int* arr) {
// 对数组进行一些操作
}
int main() {
int* myArray = createArray();
processArray(myArray);
// 正确:在释放内存空间后不再引用
free(myArray);
return 0;
}
```
说明:在实际编程过程中,稍不留心就会出现在一个模块中释放了某个内存块(如C语言指针),而另一模块在随后的某个时刻又使用了它。要防止这种情况发生。
## 9-5:!!!#ff0000 过程/函数中分配的内存,在过程/函数退出之前要释放。!!!
## 9-6:!!!#ff0000 过程/函数中申请的(为打开文件而使用的)文件句柄,在过程/函数退出之前要关闭。!!!
说明:分配的内存不释放以及文件句柄不关闭,是较常见的错误,而且稍不注意就有可能发生。这类错误往往会引起很严重后果,且难以定位。
示例:下函数在退出之前,没有把分配的内存释放。
```
//Bad
typedef unsigned char BYTE;
int example_fun( BYTE gt_len, BYTE *gt_code )
{
BYTE *gt_buf;
gt_buf = (BYTE *) malloc (MAX_GT_LENGTH);
... //program code, include check gt_buf if or not NULL.
/* global title length error */
if (gt_len > MAX_GT_LENGTH)
{
return GT_LENGTH_ERROR; // 忘了释放gt_buf
}
... // other program code
}
//Good
应改为如下。
int example_fun( BYTE gt_len, BYTE *gt_code )
{
BYTE *gt_buf;
gt_buf = (BYTE * ) malloc ( MAX_GT_LENGTH );
... // program code, include check gt_buf if or not NULL.
/* global title length error */
if (gt_len > MAX_GT_LENGTH)
{
free( gt_buf ); // 退出之前释放gt_buf
return GT_LENGTH_ERROR;
}
... // other program code
}
```
## 9-7:!!!#ff0000 防止内存操作越界。!!!
说明:内存操作主要是指对数组、指针、内存地址等的操作。内存操作越界是软件系统主要错误之一,后果往往非常严重,所以当我们进行这些操作时一定要仔细小心。
示例:假设某软件系统最多可由10个用户同时使用,用户号为1-10,那么如下程序存在问题。
```
//Bad
#define MAX_USR_NUM 10
unsigned char usr_login_flg[MAX_USR_NUM]= "";
void set_usr_login_flg( unsigned char usr_no )
{
if (!usr_login_flg[usr_no])
{
usr_login_flg[usr_no]= TRUE;
}
}
//Good
当usr_no为10时,将使用usr_login_flg越界。可采用如下方式解决。
void set_usr_login_flg( unsigned char usr_no )
{
if (!usr_login_flg[usr_no - 1])
{
usr_login_flg[usr_no - 1]= TRUE;
}
}
```
## 9-8: /认真处理程序所能遇到的各种出错情况。/
## 9-9:!!!#ff0000 系统运行之初,要初始化有关变量及运行环境,防止未经初始化的变量被引用。!!!
```
//Bad
int x;
int y = x + 5; // 错误:未经初始化的变量 x 被引用
//Good
int x = 10; // 初始化变量 x
int y = x + 5; // 正确:使用已经初始化的变量 x
```
## 9-10: /系统运行之初,要对加载到系统中的数据进行一致性检查。/
说明:使用不一致的数据,容易使系统进入混乱状态和不可知状态。
## 9-11: /严禁随意更改其它模块或系统的有关设置和配置。/
说明:编程时,不能随心所欲地更改不属于自己模块的有关设置如常量、数组的大小等。
## 9-12: /不能随意改变与其它模块的接口。/
## 9-13: /充分了解系统的接口之后,再使用系统提供的功能。/
~~示例:在B型机的各模块与操作系统的接口函数中,有一个要由各模块负责编写的初始化过程,此过程在软件系统加载完成后,由操作系统发送的初始化消息来调度。因此就涉及到初始化消息的类型与消息发送的顺序问题,特别是消息顺序,若没搞清楚就开始编程,很容易引起严重后果。以下示例引自B型曾出现过的实际代码,其中使用了FID_FETCH_DATA与FID_INITIAL初始化消息类型,注意B型机的系统是在FID_FETCH_DATA之前发送FID_INITIAL的。
```
MID alarm_module_list[MAX_ALARM_MID];
int FAR SYS_ALARM_proc( FID function_id, int handle )
{
_UI i, j;
switch ( function_id )
{
... // program code
case FID_INITAIL:
for (i = 0; i < MAX_ALARM_MID; i++)
{
if (alarm_module_list[i]== BAM_MODULE // **)
|| (alarm_module_list[i]== LOCAL_MODULE)
{
for (j = 0; j < ALARM_CLASS_SUM; j++)
{
FAR_MALLOC( ... );
}
}
}
... // program code
break;
case FID_FETCH_DATA:
... // program code
Get_Alarm_Module( ); // 初始化alarm_module_list
break;
... // program code
}
}
```
由于FID_INITIAL是在FID_FETCH_DATA之前执行的,而初始化alarm_module_list是在FID_FETCH_DATA中进行的,故在FID_INITIAL中(**)处引用alarm_module_list变量时,它还没有被初始化。这是个严重错误。
应如下改正:要么把Get_Alarm_Module函数放在FID_INITIAL中(**)之前;要么就必须考虑(**)处的判断语句是否可以用(不使用alarm_module_list变量的)其它方式替代,或者是否可以取消此判断语句。
## 9-14:!!!#ff0000 编程时,要防止差1错误。!!!
说明:此类错误一般是由于把“<=”误写成“<”或“>=”误写成“>”等造成的,由此引起的后果,很多情况下是很严重的,所以编程时,一定要在这些地方小心。当编完程序后,应对这些操作符进行彻底检查。
## 9-15: /要时刻注意易混淆的操作符。当编完程序后,应从头至尾检查一遍这些操作符,以防止拼写错误。/
说明:形式相近的操作符最容易引起误用,如C/C++中的“=”与“==”、“|”与“||”、“&”与“&&”等,若拼写错了,编译器不一定能够检查出来。
## 9-16:!!!#ff0000 有可能的话,if语句尽量加上else分支,对没有else分支的语句要小心对待;switch语句必须有default分支。!!!
## 9-17:!!!#ff0000 Unix下,多线程的中的子线程退出必需采用主动退出方式,即子线程应return出口。!!!
```
//Bad
int flag = 0; // 全局标志,用于控制子线程退出
void* threadFunc(void* arg) {
// 子线程的逻辑
while (!flag) {
// 子线程的工作
}
// 子线程退出的方式不是通过返回出口,而是通过标志位的改变
pthread_exit(NULL);
}
...
flag = 1; // 设置标志位,通知子线程退出
//Good
void* threadFunc(void* arg) {
// 子线程的逻辑
// 通过从线程函数的返回出口处返回来退出子线程
return NULL;
}
...
pthread_join(thread, NULL); // 等待子线程结束
}
```
主动退出方式(通过从线程函数的返回出口处返回)来退出子线程有以下好处:
(1)结构化:采用主动退出方式可以使线程的退出行为更加结构化和可控。通过从线程函数的返回出口处返回,可以清晰地标识出子线程的结束点,使代码更易于理解和维护。
(2)资源释放:主动退出方式可以确保在子线程结束时,相关的资源得到正确释放。例如,可以在返回出口处释放动态分配的内存、关闭打开的文件等。这样可以避免资源泄漏和内存泄漏的问题。
(3)错误处理:通过主动退出方式,子线程可以在遇到错误或异常情况时,通过返回特定的错误码或指针来通知主线程。这样主线程可以根据子线程的退出状态来进行相应的错误处理或恢复操作。
(4)线程同步:主动退出方式可以更好地实现线程同步。主线程可以使用 pthread_join() 函数来等待子线程的结束,并获取子线程的退出状态或结果。这样可以确保在主线程退出之前,子线程已经完成了它的任务并正常退出。
(5)可移植性:主动退出方式是多线程编程的通用做法,适用于各种操作系统和编程环境。采用这种方式编写的代码更具可移植性,可以在不同的平台上运行和维护。
## 9-18:!!!#ff0000 不要滥用goto语句。!!!
说明:goto语句会破坏程序的结构性,所以除非确实需要,最好不使用goto语句。
## 9-19:!!!#ff0000 不使用与硬件或操作系统关系很大的语句,而使用建议的标准语句,以提高软件的可移植性和可重用性。!!!
```
//Bad
int *ptr = (int*)0x12345678; // 错误的做法,直接使用硬编码的内存地址
*ptr = 10; // 在指定的内存地址写入数据
return 0;
//Good
int *ptr = malloc(sizeof(int)); // 使用标准库函数动态分配内存
if (ptr != NULL) {
*ptr = 10; // 在动态分配的内存中写入数据
printf("Value: %d\n", *ptr);
free(ptr); // 释放动态分配的内存
} else {
printf("Memory allocation failed!\n");
}
return 0;
```
## 9-20: /除非为了满足特殊需求,避免使用嵌入式汇编。/
说明:程序中嵌入式汇编,一般都对可移植性有较大的影响。
## 9-21: /精心地构造、划分子模块,并按“接口”部分及“内核”部分合理地组织子模块,以提高“内核”部分的可移植性和可重用性。/
说明:对不同产品中的某个功能相同的模块,若能做到其内核部分完全或基本一致,那么无论对产品的测试、维护,还是对以后产品的升级都会有很大帮助。
## 9-22: /精心构造算法,并对其性能、效率进行测试。/
## 9-23: /对较关键的算法最好使用其它算法来确认。/
## 9-24:!!!#ff0000 时刻注意表达式是否会上溢、下溢。!!!
```
示例:如下程序将造成变量下溢。
unsigned char size ;
while (size-- >= 0) // 将出现下溢
{
... // program code
}
当size等于0时,再减1不会小于0,而是0xFF,故程序是一个死循环。应如下修改。
signed char size; // 从unsigned char 改为signed char
while (size-- >= 0)
{
... // program code
}
```
## 9-25:!!!#ff0000 使用变量时要注意其边界值的情况。!!!
示例:如C语言中字符型变量,有效值范围为-128到127。
```
//Bad
char myChar = 127; // 设置字符型变量为边界值 127
myChar++;// 增加字符型变量的值
printf("myChar的值为:%d\n", myChar);
//Good
char myChar = 127; // 设置字符型变量为边界值 127
myChar++;// 增加字符型变量的值
if (myChar > 127 || myChar < -128) {// 检查是否发生溢出
printf("发生溢出!\n");
}
printf("myChar的值为:%d\n", myChar);
return 0;
```
## 9-26:!!!#ff0000 留心程序机器码大小(如指令空间大小、数据空间大小、堆栈空间大小等)是否超出系统有关限制。!!!
系统有关限制可以包括以下方面:
1. 指令空间大小:指令空间是用于存储应用程序的机器码的内存区域。不同的系统和硬件平台可能对指令空间大小有限制。如果应用程序的机器码超过了系统的指令空间限制,可能会导致程序无法正确执行或崩溃。
2. 数据空间大小:数据空间是用于存储应用程序的静态数据和变量的内存区域。如果应用程序使用的数据空间超过了系统的限制,可能会导致内存溢出或数据损坏等问题。
3. 堆栈空间大小:堆栈空间用于存储函数调用和局部变量等信息。如果应用程序的堆栈空间超过了系统的限制,可能会导致堆栈溢出或栈帧错误等问题。
## 9-27: /为用户提供良好的接口界面,使用户能较充分地了解系统内部运行状态及有关系统出错情况。/
## 9-28: /系统应具有一定的容错能力,对一些错误事件(如用户误操作等)能进行自动补救。/
## 9-29: /对一些具有危险性的操作代码(如写硬盘、删数据等)要仔细考虑,防止对数据、硬件等的安全构成危害,以提高系统的安全性。/
## 9-30: /使用第三方提供的软件开发工具包或控件时,要注意以下几点:/
(1)充分了解应用接口、使用环境及使用时注意事项。
(2)不能过分相信其正确性。
(3)除非必要,不要使用不熟悉的第三方工具包与控件。
说明:使用工具包与控件,可加快程序开发速度,节省时间,但使用之前一定对它有较充分的了解,同时第三方工具包与控件也有可能存在问题。
## 9-31: !!!#ff0000 资源文件(多语言版本支持),如果资源是对语言敏感的,应让该资源与源代码文件脱离,具体方法有下面几种:使用单独的资源文件、DLL文件或其它单独的描述文件(如数据库格式)!!!
将资源与源代码文件分离的方法有几种。
1. 使用单独的资源文件:这意味着将不同语言版本的资源存储在独立的文件中,而不是与源代码混合在一起。这样做可以方便地管理和更新不同语言的资源,而不需要修改源代码。通常,这些资源文件可以是文本文件、XML文件或其他格式,具体取决于应用程序的需求。
2. 使用DLL文件:DLL(动态链接库)是一种包含可重用代码和资源的文件。通过将语言特定的资源放入DLL文件中,可以实现资源与源代码的分离。应用程序可以在运行时加载所需的DLL文件,并使用其中的资源。这种方法可以提供更好的模块化和可维护性,因为资源可以独立于源代码进行更新和替换。
3. 使用其他单独的描述文件(如数据库格式):有时,将资源存储在数据库中可能更合适。这种方法可以提供更灵活的资源管理和多语言支持。资源可以以表格形式存储在数据库中,每个语言版本对应一行或一个记录。应用程序可以根据需要从数据库中检索和使用适当的资源。
## 9-32: /要时刻注意易混淆的操作符。/
## 9-33: !!!#ff0000 函数中分配的内存,在函数退出之前要释放。!!!
说明:有很多函数申请内存,保存在数据结构中,要在申请处加上注释,说明在何处释放。
```
//Bad
void myFunction() {
int* ptr = (int*)malloc(sizeof(int));
// ...
}
//Good
void myFunction() {
int* ptr = (int*)malloc(sizeof(int));
// 使用分配的内存
// ...
free(ptr); // 释放内存
}
```
# 10 代码编辑、编译、审查
## 10-1:!!!#ff0000 打开编译器的所有告警开关对程序进行编译。!!!
说明:最高级别的报警选项,如 `-Wall` 或 `-Wextra`,编译器将会启用尽可能多的警告信息
## 10-2: /在产品软件(项目组)中,要统一编译开关选项。/
## 10-3: /通过代码走读及审查方式对代码进行检查。/
说明:代码走读主要是对程序的编程风格如注释、命名等以及编程时易出错的内容进行检查,可由开发人员自己或开发人员交叉的方式进行;代码审查主要是对程序实现的功能及程序的稳定性、安全性、可靠性等进行检查及评审,可通过自审、交叉审核或指定部门抽查等方式进行。
## 10-4: /同产品软件(项目组)内,最好使用相同的编辑器,并使用相同的设置选项。/
说明:同一项目组最好采用相同的智能语言编辑器,如Muiti Editor,Visual Editor(我使用Ultra Editor,ilan2003)等,并设计、使用一套缩进宏及注释宏等,将缩进等问题交由编辑器处理。
## 10-5: /要小心地使用编辑器提供的块拷贝功能编程。/
说明:当某段代码与另一段代码的处理功能相似时,许多开发人员都用编辑器提供的块拷贝功能来完成这段代码的编写。由于程序功能相近,故所使用的变量、采用的表达式等在功能及命名上可能都很相近,所以使用块拷贝时要注意,除了修改相应的程序外,一定要把使用的每个变量仔细查看一遍,以改成正确的。不应指望编译器能查出所有这种错误,比如当使用的是全局变量时,就有可能使某种错误隐藏下来。
## 10-6: /合理地设计软件系统目录,方便开发人员使用。/
说明:方便、合理的软件系统目录,可提高工作效率。目录构造的原则是方便有关源程序的存储、查询、编译、链接等工作,同时目录中还应具有工作目录----所有的编译、链接等工作应在此目录中进行,工具目录----有关文件编辑器、文件查找等工具可存放在此目录中。
## 10-7: /某些语句经编译后产生告警,但如果你认为它是正确的,那么应通过某种手段去掉告警信息。/
~~说明:在Borland C/C++中,可用“#pragma warn”来关掉或打开某些告警。
```
示例:
#pragma warn -rvl // 关闭告警
int examples_fun( void )
{
// 程序,但无return语句。
}
#pragma warn +rvl // 打开告警
编译函数examples_fun时本应产生“函数应有返回值”告警,但由于关掉了此告警信息显示,所以编译时将不会产生此告警提示。
```
## 10-8: /使用代码检查工具(如C语言用PC-Lint)对源程序检查。/
## 10-9: /使用软件工具(如 LogiSCOPE)进行代码审查。/
# 11 代码测试、维护
## 11-1: /单元测试要求至少达到语句覆盖。/
## 11-2: /单元测试开始要跟踪每一条语句,并观察数据流及变量的变化。/
## 11-3: /清理、整理或优化后的代码要经过审查及测试。/
## 11-4: /代码版本升级要经过严格测试。/
## 11-5: /使用工具软件对代码版本进行维护。/
## 11-6: /正式版本上软件的任何修改都应有详细的文档记录。/
## 11-7: /发现错误立即修改,并且要记录下来。/
## 11-8: /关键的代码在汇编级跟踪。/
## 11-9: /仔细设计并分析测试用例,使测试用例覆盖尽可能多的情况,以提高测试用例的效率。/
## 11-10: /尽可能模拟出程序的各种出错情况,对出错处理代码进行充分的测试。/
## 11-11: /仔细测试代码处理数据、变量的边界情况。/
## 11-12: /保留测试信息,以便分析、总结经验及进行更充分的测试。/
## 11-13: /不应通过“试”来解决问题,应寻找问题的根本原因。(我是用试来查找问题的)/
## 11-14: /对自动消失的错误进行分析,搞清楚错误是如何消失的。(这个很有必要)/
## 11-15: /修改错误不仅要治表,更要治本。/
## 11-16: /测试时应设法使很少发生的事件经常发生。/
## 11-17: /明确模块或函数处理哪些事件,并使它们经常发生。/
## 11-18: /坚持在编码阶段就对代码进行彻底的单元测试,不要等以后的测试工作来发现问题。/
## 11-19: /去除代码运行的随机性(如去掉无用的数据、代码及尽可能防止并注意函数中的“内部寄存器”等),让函数运行的结果可预测,并使出现的错误可再现。/
# 12 宏
## 12-1: /用宏定义表达式时,要使用完备的括号。/
```
示例:如下定义的宏都存在一定的风险。
#define RECTANGLE_AREA( a, b ) a * b
#define RECTANGLE_AREA( a, b ) (a * b)
#define RECTANGLE_AREA( a, b ) (a) * (b)
正确的定义应为:
#define RECTANGLE_AREA( a, b ) ((a) * (b))
```
## 12-2: /将宏所定义的多条表达式放在大括号中。/
```
示例:下面的语句只有宏的第一条表达式被执行。为了说明问题,for语句的书写稍不符规范。
#define INTI_RECT_VALUE( a, b )\
a = 0;\
b = 0;
for (index = 0; index < RECT_TOTAL_NUM; index++)
INTI_RECT_VALUE( rect.a, rect.b );
正确的用法应为:
#define INTI_RECT_VALUE( a, b )\
{\
a = 0;\
b = 0;\
}
for (index = 0; index < RECT_TOTAL_NUM; index++)
{
INTI_RECT_VALUE( rect[index].a, rect[index].b );
}
```
## 12-3:!!!#ff0000 使用宏时,不允许参数发生变化。!!!
在宏展开中使用了后置递增操作符 `a++`,而后置递增操作符会在整个表达式求值完成后才对变量进行递增。这导致在宏展开中,同一个变量 `a` 被多次修改,这是未定义行为。
```
//Bad
//示例:如下用法可能导致错误。
#define SQUARE( a ) ((a) * (a))
int a = 5;
int b;
b = SQUARE( a++ ); // 结果:a = 7,即执行了两次增1。
//Good
//正确的用法是:
b = SQUARE( a );
a++; // 结果:a = 6,即只执行了一次增1。
```
宏展开后的结果是 `((a++) * (a++))`。这里有两个自增操作 `a++`,它们都修改了变量 `a` 的值。然而,C/C++ 标准没有明确规定在同一表达式中多次修改同一个变量的值时应该按照什么顺序进行。
不同的编译器可能会采用不同的实现方式,导致不同的结果。这种行为是未定义的,因为标准没有规定应该如何处理这种情况。
## 12-4: /不允许直接使用魔鬼数字。/
## 12-5: /除非必要,应尽可能使用函数代替宏。/
## 12-6: /常量建议使用const定义代替宏。/
## 12-7: /宏定义中尽量不使用return、goto、continue、break等改变程序流程的语句。/
循环依赖关系可能导致以下问题:
1. 编译错误:循环依赖可能导致编译器无法解析头文件之间的依赖关系,从而导致编译错误。
2. 重复定义:循环依赖可能导致同一个实体(如函数、变量)在多个头文件中被重复定义,这会导致重复定义的错误。
3. 难以理解和维护:循环依赖会增加代码的复杂性,使代码难以理解和维护。当修改一个头文件时,可能会影响到其他头文件,增加了代码的耦合性。
为了避免头文件循环依赖,可以采取以下措施:
1. 使用前向声明(forward declaration):如果只需要声明一个类型而不需要完整的定义,可以使用前向声明来避免包含对应的头文件。
2. 重构代码结构:如果发现头文件之间存在循环依赖,可以考虑重构代码结构,将共享的部分提取到一个新的头文件中,以减少循环依赖。
3. 使用接口抽象:通过定义接口(纯虚类或函数指针等),可以将具体实现的依赖关系转移到源文件中,从而避免头文件之间的循环依赖
# 13 其他
## 13-1:!!!#ff0000 头文件中适合放置接口的声明,不适合放置实现。!!!
## 13-2:头文件应当职责单一。
## 13-3:头文件应向稳定的方向包含。
## 13-4:每一个.c文件应有一个同名.h文件,用于声明需要对外公开的接口。
## 13-5:!!!#ff0000 禁止头文件循环依赖。!!!
循环依赖关系可能导致以下问题:
1. 编译错误:循环依赖可能导致编译器无法解析头文件之间的依赖关系,从而导致编译错误。
2. 重复定义:循环依赖可能导致同一个实体(如函数、变量)在多个头文件中被重复定义,这会导致重复定义的错误。
3. 难以理解和维护:循环依赖会增加代码的复杂性,使代码难以理解和维护。当修改一个头文件时,可能会影响到其他头文件,增加了代码的耦合性。
为了避免头文件循环依赖,可以采取以下措施:
1. 使用前向声明(forward declaration):如果只需要声明一个类型而不需要完整的定义,可以使用前向声明来避免包含对应的头文件。
2. 重构代码结构:如果发现头文件之间存在循环依赖,可以考虑重构代码结构,将共享的部分提取到一个新的头文件中,以减少循环依赖。
3. 使用接口抽象:通过定义接口(纯虚类或函数指针等),可以将具体实现的依赖关系转移到源文件中,从而避免头文件之间的循环依赖
## 13-6:.c/.h文件禁止包含用不到的头文件。
## 13-7:头文件应当自包含。
## 13-8:!!!#ff0000 总是编写内部#include保护符(#define 保护)。!!!
当一个头文件被多个源文件包含时,如果没有适当的保护措施,可能会导致重复定义和编译错误。`HEADER_NAME_H` 是一个唯一的标识符,通常是头文件的名称加上 `_H` 后缀。当第一次包含头文件时,`HEADER_NAME_H` 这个标识符会被定义,然后头文件的内容会被包含在 `#ifndef` 和 `#endif` 之间。当再次包含同一个头文件时,由于 `HEADER_NAME_H` 已经被定义,预处理器会跳过头文件的内容,避免重复定义。
```
#ifndef HEADER_NAME_H
#define HEADER_NAME_H
// 头文件内容
#endif
```
## 13-9:!!!#ff0000 禁止在头文件中定义变量。!!!
1. 避免重复定义:头文件通常会被多个源文件包含,如果在头文件中定义变量,每个源文件都会包含该变量的定义,这将导致重复定义的错误。通过禁止在头文件中定义变量,可以避免这种问题。
2. 遵循单一定义原则:在 C/C++ 中,全局变量的定义只能出现在一个源文件中,否则会导致多重定义的错误。通过禁止在头文件中定义变量,可以确保全局变量只在一个源文件中定义,遵循单一定义原则。
3. 隐藏实现细节:头文件通常用于公开接口和声明,而不是用于实现细节。通过禁止在头文件中定义变量,可以将变量的实现细节隐藏在源文件中,提高代码的封装性和抽象性。
4. 避免链接错误:如果在多个源文件中定义了相同名称的全局变量,链接时会出现冲突,导致链接错误。通过禁止在头文件中定义变量,可以避免这种链接错误。
需要注意的是,虽然禁止在头文件中定义变量可以避免一些问题,但有时候可能确实需要在头文件中声明变量。在这种情况下,可以使用 `extern` 关键字在头文件中声明变量,然后在一个源文件中定义该变量。
## 13-10: /只能通过包含头文件的方式使用其他.c提供的接口,禁止在.c中通过extern的方式使用外部函数接口、变量。/
## 13-11:禁止在extern "C"中包含头文件
## 13-12:一个模块通常包含多个.c文件,建议放在同一个目录下,目录名即为模块名。为方便外部使用者,建议每一个模块提供一个.h,文件名为目录名。
## 13-13: 如果一个模块包含多个子模块,则建议每一个子模块提供一个对外的.h,文件名为子模块名。
## 13-14:头文件不要使用非习惯用法的扩展名,如.inc
## 13-15: 同一产品统一包含头文件排列方式。
## 13-16: 函数调用不要作为另一个函数的参数使用,否则对于代码的调试、阅读都不利。
## 13-17: !!!#ff0000 使用编译器的最高告警级别,理解所有的告警,通过修改代码而不是降低告警级别来消除所有告警。!!!
说明:最高级别的报警选项,如 `-Wall` 或 `-Wextra`,编译器将会启用尽可能多的警告信息,以帮助您发现潜在的问题和改进代码质量。这些警告信息可能包括未使用的变量、潜在的类型不匹配、潜在的内存错误等。
```
\\Bad
...
for (int x = 0; x < sizeof(weekdays.sWeekdays) / sizeof(weekdays.sWeekdays[0]); x++) {
if (strcmp(weekdays.sWeekdays[x], input) == 0)
return weekdays.nWeekdays[x];
}
...
input:
gcc -g -o x.exe .\x.c
output:
\\Good
input:gcc -Wall -Wextra -g -o x.exe .\x.c
gcc -g -o x.exe .\x.c
input:
.\x.c:
output:
26:23: error: comparison of integer expressions of different signedness: 'int' and 'long long unsigned int' [-Werror=sign-compare]
26 | for (int x = 0; x < sizeof(weekdays.sWeekdays) / sizeof(weekdays.sWeekdays[0]); x++) {
| ^
cc1.exe: all warnings being treated as errors
//将int改为size_t后编译无报错
```
253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
