Java开发手册笔记(二) 异常日志、单元测试、安全归约

此文为阅读阿里巴巴Java开发手册时，将个人认为重要或值得注意的规范记作学习笔记。此为第二、三、四章——异常日志、单元测试、安全归约。

异常日志

异常处理(No.9）

方法的返回值可以为 null，不强制返回空集合，或者空对象等，必须添加注释充分说明什么情况下会返回 null 值。

说明：本手册明确防止 NPE 是调用者的责任。即使被调用方法返回空集合或者空对象，对调用者来说，也并非高枕无忧，必须考虑到远程调用失败、序列化失败、运行时异常等场景返回null 的情况。

NPE场景(No.10）

防止 NPE，是程序员的基本修养，注意 NPE 产生的场景：

1. 返回类型为基本数据类型，return 包装数据类型的对象时，自动拆箱有可能产生 NPE。
   反例：public int f() { return Integer 对象}， 如果为 null，自动解箱抛 NPE。
2. 数据库的查询结果可能为 null。
3. 集合里的元素即使 isNotEmpty，取出的数据元素也可能为 null
4. 远程调用返回对象时，一律要求进行空指针判断，防止 NPE。
5. 对于 Session 中获取的数据，建议 NPE 检查，避免空指针。
6. 级联调用 obj.getA().getB().getC()；一连串调用，易产生 NPE。
   正例：使用 JDK8 的 Optional 类来防止 NPE 问题。

日志归约(No.2）

日志文件至少保存 15 天，因为有些异常具备以“周”为频次发生的特点。

条件输出形式及占位符(No.4）

对 trace/debug/info 级别的日志输出，必须使用条件输出形式或者使用占位符的方式。

说明：

logger.debug("Processing trade with id: " + id + " and symbol: " + symbol);

如果日志级别是 warn，上述日志不会打印，但是会执行字符串拼接操作，如果 symbol 是对象，会执行 toString()方法，浪费了系统资源，执行了上述操作，最终日志却没有打印。

正例：（条件）建设采用如下方式

if (logger.isDebugEnabled()) { 
logger.debug("Processing trade with id: " + id + " and symbol: " + symbol); 
} 

正例：（占位符）

logger.debug("Processing trade with id: {} and symbol : {} ", id, symbol); 

单元测试

BCDE原则(No.9）

编写单元测试代码遵守 BCDE 原则，以保证被测试模块的交付质量。

• B：Border，边界值测试，包括循环边界、特殊取值、特殊时间点、数据顺序等。
• C：Correct，正确的输入，并得到预期的结果。
• D：Design，与设计文档相结合，来编写单元测试。
• E：Error，强制错误信息输入（如：非法数据、异常流程、非业务允许输入等），并得到预期的结果。

安全归约

参数有效性校验(No.4）

用户请求传入的任何参数必须做有效性验证。

说明：忽略参数校验可能导致：

• page size 过大导致内存溢出
• 恶意 order by 导致数据库慢查询
• 任意重定向
• SQL 注入
• 反序列化注入
• 正则输入源串拒绝服务 ReDoS
  说明：Java 代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题，但是如果攻击人员使用的是特殊构造的字符串来验证，有可能导致死循环的结果。

CSRF 安全验证(No.6）

表单、AJAX 提交必须执行 CSRF 安全验证。

说明：CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在CSRF 漏洞的应用/网站，攻击者可以事先构造好 URL，只要受害者用户一访问，后台便在用户不知情的情况下对数据库中用户参数进行相应修改。

---

资料来源：
1.阿里巴巴Java开发手册(1.4.0)