防禦性編程：Java中的指導

Question

我來自.NET背景，現在涉足Java領域。

目前，我在設計API防禦錯誤輸入方面遇到很大問題。比方說，我有以下代碼（足夠接近）：

public void setTokens(Node node, int newTokens) { 
    tokens.put(node, newTokens); 
} 

但是，此代碼可能會失敗的原因有兩個：

1. 用戶通過一個null節點。
2. 用戶通過一個無效節點，即一個不包含在圖中。

在.NET中，我將拋出一個ArgumentNullException（而不是NullReferenceException！）或ArgumentException分別通過違規參數（node）爲string參數的名稱。

Java似乎沒有例外。我意識到我可以更具體，只是拋出最接近描述情況的異常，或者爲特定情況編寫我自己的異常類。

這是最佳做法嗎？或者有類似於.NET中的ArgumentException的通用類？

在這種情況下檢查null是否有意義？代碼無論如何都會失敗，異常的堆棧跟蹤將包含上述方法調用。檢查null似乎是多餘的和過度。當然，堆棧跟蹤將是略微更清潔（因爲它的目標是上述方法，而不是在JRE的HashMap執行內部檢查）。但是這必須抵消額外的if聲明的成本，而且，永遠不會出現 - 畢竟，將null傳遞給上述方法並不是預期的情況，這是一個相當愚蠢的錯誤。期待它是徹頭徹尾的偏執 - 即使我沒有檢查它也會失敗，同樣的例外。

[正如已經在評論中指出的，HashMap.put實際上允許null值爲關鍵。所以對null檢查不一定是多餘這裏]

Answer 1

不同的羣體有不同的標準。首先，我假設你知道RuntimeException s（未選中）與正常Exception s（選中）之間的區別，如果不是，則請參閱this question and the answers。如果你寫自己的例外，你可以強制它被捕獲，而NullPointerException和IllegalArgumentException都是RuntimeExceptions，這是在一些圈子裏皺起眉頭。其次，和你一樣，我一起工作過但不主動使用斷言，但是如果你的團隊（或API的使用者）已經決定使用斷言，那麼斷言聽起來就像正確的機制。

如果我是你，我會使用NullPointerException。原因是先例。以Sun的示例Java API爲例，例如java.util.TreeSet。這恰好使用NPE來處理這種情況，雖然看起來你的代碼只是使用了null，但它完全合適。

正如其他人所說的IllegalArgumentException是一個選項，但我認爲NullPointerException更具溝通性。

如果此API旨在供外部公司/團隊使用，我會堅持NullPointerException，但請確保它在javadoc中聲明。如果是爲了內部使用，那麼你可能會決定添加你自己的異常heirarchy是值得的，但是我個人發現，添加了巨大的異常heirarchies的APIs，只會是printStackTrace()d或登錄只是浪費精力。

在一天結束時，最主要的是你的代碼能夠清楚地進行通信。當地的例外條款就像當地的術語 - 它爲業內人士增加了信息，但可能會讓外界感到困惑。

至於檢查無效，我認爲它是有道理的。首先，它允許您在構建異常時添加有關null的消息（即節點或令牌），這將有所幫助。其次，將來您可能會使用允許null的Map實現，然後您將失去錯誤檢查。成本幾乎沒有，所以除非一個分析師說這是一個內部循環問題，我不會擔心它。

Answer 2

在Java中，你通常會拋出一個IllegalArgumentException

Answer 3

你的方法完全取決於什麼合同的功能提供給調用者 - 這是一個前提條件，即節點不是null？

如果是這樣，那麼如果節點爲空，則應該拋出一個異常，因爲它違反了合同。如果它沒有，那麼你的函數應該默默地處理空節點並做出適當的響應。

Answer 4

標準的Java異常是IllegalArgumentException。如果參數爲空，某些人會拋出NullPointerException，但對我來說，NPE有這個「有人搞砸」的內涵，並且你不希望你的API的客戶認爲你不知道你在做什麼。

對於公共API，檢查參數並儘早乾淨地失敗。時間/成本幾乎不重要。

Answer 5

如果你想要一本關於如何編寫好的Java代碼的指南，我可以強烈推薦Joshua Bloch的書Effective Java。

Answer 6

像其他：java.lang.IllegalArgumentException。 關於檢查空節點，在節點創建時檢查錯誤輸入是什麼？

Answer 7

這聽起來像這可能是一個assert適當的使用：

public void setTokens(Node node, int newTokens) { 
    assert node != null; 
    tokens.put(node, newTokens); 
} 

Answer 8

我認爲很大程度上取決於方法的合同以及調用者的知道程度。

在調用你的方法之前，調用者可以採取行動來驗證節點。如果你知道調用者並知道這些節點總是被驗證，那麼我認爲可以假設你會得到好的數據。來電者基本上負有責任。

但是，如果你是，例如，提供分發的第三方庫，那麼你需要驗證節點的空值等... ...

的illegalArugementException是java標準，但也是一個RuntimeException。所以如果你想強制調用者處理異常，那麼你需要提供一個檢查異常，可能是你創建的一個自定義異常。

Answer 9

個人而言，我想NullPointerException異常只能由意外發生，因此一定是別的東西可以用來表明非法參數值傳遞。 IllegalArgumentException對此很好。

if (arg1 == null) { 
throw new IllegalArgumentException("arg1 == null"); 
} 

這應該足以這兩個讀碼，而且這個可憐的靈魂誰得到在早上3支持呼叫。

（並且總是爲您提供的例外中的說明文本，你會明白他們一些悲傷的一天）

Answer 10

我不必討好任何人，所以我現在要做的，作爲典型的代碼是

void method(String s) 

if((s != null) && (s instanceof String) && (s.length() > 0x0000)) 
{ 

這讓我有很多睡眠。其他人不會同意。