<php?
define ("TEMPLATE_DIR", "/home/users/phpguru/templates");
define ("DEFAULT_TEMPLATE", "blue.tpl");
if (isset ($_COOKIE ['TEMPLATE'])) {
$template = $_COOKIE ['TEMPLATE'];
} else {
$template = DEFAULT_TEMPLATE;
}
include (TEMPLATE_DIR . "/" . $template);
...
?>
...
String formName = httpRequest.getFormField ("name");
...
Statement statement = connection.createStatement ();
ResultSet resultSet = statement.executeQuery (
"SELECT email FROM member WHERE name = '"+ formName +"';");
...
<php?
define ("TEMPLATE_DIR", "/home/users/phpguru/templates");
define ("DEFAULT_TEMPLATE", "blue");
$templateMap = array ("blue" => "blue.tpl", "green" => "green.tpl", ...);
if (isset ($_COOKIE ['TEMPLATE'])) {
$template = $_COOKIE ['TEMPLATE'];
}
if (empty ($template)) {
$template = DEFAULT_TEMPLATE;
}
include (TEMPLATE_DIR . "/" . $templateMap [$template]);
...
?>
...
String formName = httpRequest.getFormField ("name");
...
PreparedStatement preparedStatement = connection.prepareStatement (
"SELECT email FROM member WHERE name = ?");
preparedStatement.setString (1, formName);
ResultSet resultSet = preparedStatement.executeQuery ();
...
Kontrola správnosti u řetězců může být obzvláště zapeklitá, protože obsah může být URL-encoded, může různě escapovat uvozovky, tečky, lomítka, atd.
SQL se např. v Javě přímo používá poměrně málo, neboť pro cokoliv většího je vhodnější využít některý z frameworků pro perzistenci, nicméně např. v PHP je přímé používání SQL poměrně běžné. Pokud není k dispozici podpora pro přípravu SQL příkazů, je důležité vedle kontroly obsahu používat escapovací funkce, které datům znemožní "vyskočit" z uvozovek.
U souborů je zase důležitá normalizace jmen a kontrola přístupu podle finálního jména. Ještě lepší je se jakékoliv konstrukci jmen přímo s použitím uživatelského vstupu vyhnout, např. přes mapovací tabulku.
public void log (String context, String taskID, Date timestamp, LogLevel level, String message) {
if (context == null) {
throw new NullPointerException ("Context name is null");
}
if (context.equals("")) {
throw new IllegalArgumentException ("Context name is empty");
}
if (taskID == null) {
throw new NullPointerException ("Task ID is null");
}
if (taskID.equals("")) {
throw new IllegalArgumentException ("Task ID is empty");
}
if (timestamp == null) {
throw new NullPointerException ("Timestamp is null");
}
if (level == null) {
throw new NullPointerException ("Log level is null");
}
if (message == null) {
throw new NullPointerException ("Log message is null");
}
File contextDir = new File (basedir, context);
if (!contextDir.isDirectory ()) {
throw new IllegalArgumentException ("Context not registered: " + context);
}
File taskDir = new File (contextDir, taskID);
if (!taskDir.isDirectory ()) {
throw new IllegalArgumentException ("Task not registered: " + taskID);
}
/* tělo metody */
}
Příklad je mírně upravený kus kódu ze softwarového projektu Davida Majdy. Autor kódu (nikoliv David Majda) si krátce před jeho napsáním přečetl Effective Java a byl odhodlaný psát kód opravdu poctivě a neprůstřelně.
Kód na kontrolu parametrů byl nakonec delší než samotné tělo metody (to je v příkladu vynecháno). Je na místě otázka, zda, případně kdy, se opravdu vyplatí parametry poctivě kontrolovat.
public void log (String context, String taskID, Date timestamp, LogLevel level, String message) {
ensureValidContextName (context, "context");
ensureValidTaskID (taskID, "taskID");
Ensure.objectNotNull (timestamp, "timestamp");
Ensure.objectNotNull (level, "log level");
Ensure.objectNotNull (message, "message");
//
File contextDir = new File (basedir, context);
File taskDir = new File (contextDir, taskID);
/* tělo metody */
}
public void ensureValidContextName (String context, String paramName) {
Ensure.stringNotEmpty (string, "context name in " + paramName);
File contextDir = new File (basedir, context);
if (!contextDir.isDirectory ()) {
throw new IllegalArgumentException ("Context not registered: " + context);
}
}
public void Ensure.stringNotEmpty (String string, String paramName) {
Ensure.objectNotNull (string, paramName);
if (string.length () < 1) {
throw new IllegalArgumentException (paramName + " is empty");
}
}
Výše uvedený zápis je výrazně kompaktnější než dříve uvedený
způsob vynucování kontraktu. Třída Ensure poskytuje
statické metody pro kontrolu obecných parametrů, metody
ensureValidContextName a ensureValidTaskID
by typicky byly privátní, protože obsahují implementační detaily
třídy.
Samozřejmě je zde vidět určitá duplicita při vytváření objektů
File. To by se dalo odstranit vhodnou privátní funkcí,
která by takový objekt vracela a zároveň kontrolovala platnost vstupních
parametrů.
V některých jednoduchých případech je možné kontroly zobecnit a
přesunout do společné třídy Ensure - v tomto případě
by to znamenalo vytvořit např. metodu Ensure.directoryExists
a té předat vytvořený objekt File a chybovou zprávu,
která má být použita ve výjimce. Je však potřeba dát pozor na to,
jak kombinovat např. textové informace a také typy vyhazovaných
výjimek. Většinou však na vstupu metody vystačíme s
NullPointerException a IllegalArgumentException.
Podobný přístup umožňuje třída Preconditions z knihovny Guava, na kterou odkazuje článek Avoid Check for Null Statement in Java.
public void log (String context, String taskId, Date timestamp, LogLevel level, String message) {
File contextDir = new File (basedir, requireValidContextName(context));
File taskDir = new File (contextDir, requireValidTaskId(taskId));
/* volání implementační metody */
...
_log(Objects.requireNonNull(timestamp, "timestamp"), ...);
...
}
throw new AssertionError (message) vs.
assert condition : message
public void log (
String context, String taskID,
Date timestamp, LogLevel level, String message
) {
assertValidContextName (context, "context");
assertValidTaskID (taskID, "taskID");
Assert.objectNotNull (timestamp, "timestamp");
Assert.objectNotNull (level, "log level");
Assert.objectNotNull (message, "message");
//
File contextDir = new File (basedir, context);
File taskDir = new File (contextDir, taskID);
/* tělo metody */
}
Podobnost s kódem v předcházejícím příkladu není vůbec náhodná. Místo "ensure" je použito "assert", které indikuje, že metoda se volá pouze uvnitř důvěryhodného kódu, a že většina kontrol z produkční verze programu zmizí, aby nezdržovala.
Je realistické očekávat, že překladač, pokud zjistí, že těla volaných metod jsou prázdná, tato volání eliminuje, takže nebudou představovat zdroj zbytečné režie při volání metody.
double calculateVelocity (double latitute, double longitude, double elevation) {
assertValueWithinRange (latitude, LATITUDE_MIN, LATITUDE_MAX, "latitude");
assertValueWithinRange (longitude, LONGITUDE_MIN, LONGITUDE_MAX, "longitude");
assertValueWithinRange (elevation, ELEVATION_MIN, ELEVATION_MAX, "elevation");
//
// Sanitize input data. Values should be within the asserted ranges, but
// if a value is not within its valid range, it will be changed to the
// closest legal value.
//
double actualLatitude =
clampValueRange (latitude, LATITUDE_MIN, LATITUDE_MAX, "latitude");
double actualLongitude =
clampValueRange (longitude, LONGITUDE_MIN, LONGITUDE_MAX, "longitude");
double actualElevation =
clampValueRange (elevation, ELEVATION_MIN, ELEVATION_MAX, "elevation");
...
/* calculate velocity */
...
return velocity;
} Texture loadTexture (String textureId) {
assertValidTextureId (textureId, "textureId");
//
File textureFile = textureIdToFile (textureId);
Texture result = Texture.createFromFile (textureFile);
if (result == null) {
log.warn (
"failed to load texture %d, using error texture", textureId);
result = ERROR_TEXTURE;
}
return result;
}
Uvedené členění vychází z roztomilého článku Damiena Katze Error codes or Exceptions? Why is Reliable Software so Hard?.