APP安全编码规范.docx

《APP安全编码规范.docx》由会员分享，可在线阅读，更多相关《APP安全编码规范.docx（35页珍藏版）》请在优知文库上搜索。

1、编码规范XX科技股份有限公司编制目录一、编程规约3（一）命名风格3（二）常量定义7（三）代码格式8（四）OOP规约11（五）集合处理17（六）并发处理21（七）控制语句27（八）注释规约31（九）其它33二、异常日志34（一）异常处理34（一）日志规约37三、单元测试38四、安全规约41五、MySQ1.数据库42（一）建表规约42（二）索引规约44（三）SQ1.语句46（四）ORM映射47六、工程结构48（一）应用分层48（二）二方库依赖50（三）服务器52七、设计规约52附1：专有名词解释56一、编程规约（一）命名风格1 .【强制】代码中的命名均不能以下划线或美元符号开始，也不能以下划线或美

2、元符号结束。反例：_name/name/Sname/name_/name$/name2 .【强制】代码中的命名严禁使用拼音与英文混合的方式，更不允许直接使用中文的方式。说明：正确的英文拼写和语法可以让阅读者易于理解，避免歧义。注意，纯拼音命名方式更要避免采用。正例：renminbi/a1.ibaba/taobao/youku/hangzhou等国际通用的名称，可视同英文。反例：DaZhePromotion打折/geIPingfenByNameO评分/int某变量=3【强制】类名使用UPPerCameICaSe风格，但以下情形例外：DO/BO/DTO/VO/0PO/UID等。了一例：JaVaSe

3、rVerIeSSPIatfOrm/UserDO/Xm1.Service/TcpUdpDea1./TaPromotion反例：Javaserver1.essp1.atforin/UserDo/XM1.Service/TCP1.1DPDea1./TAPromotion4 .【强制】方法名、参数名、成员变量、局部变量都统一使用IowerCaine1.Case风格，必须遵从驼峰形式。J例:Ioca1.Va1.ue/getHttpMessageO/inputUser1.d5 .【强制】常量命名全部大写，单词间用下划线隔开，力求语义表达完整清楚，不要嫌名字长。王例：MAX_STOCK_COUNT/CACH

4、E_EXP1.REDJnME反例：MXCOUNT/EXPIREDTIME6 .【强制】抽象类命名使用AbStraCt或Base开头；异常类命名使用Exception结尾；测试类命名以它要测试的类的名称开始，以Test结尾。7 .【强制】类型与中括号紧挨相连来表示数组。JE例:定义整形数组intarrayDerao;反例:在main参数中，使用StringargS来定义。8 .【强制】POJO类中布尔类型变量都不要加is前缀，否则部分框架解析会引起序列化错误。说明：在本文MySQ1.规约中的建表约定第一条，表达是与否的值采用is_xxx的命名方式，所以，需要在resu1.1.Map设置从is_x

5、xx到xxx的映射关系。反例：定义为基本数据类型Boo1.eanisDe1.eted的属性，它的方法也是isDe1.eted(),RPC框架在反向解析的时候，“误以为”对应的属性名称是de1.eted,导致属性获取不到，进而抛出异常。9 .【强制】包名统一使用小写，点分隔符之间有且仅有一个自然语义的英语单词。包名统一使用单数形式，但是类名如果有复数含义，类名可以使用复数形式。壬例:应用工具类包名为com.a1.ibaba.ai.uti1.类名为MessageUti1.s(此规则参考spring的框架结构)10 .【强制】避免在子父类的成员变量之间、或者不同代码块的局部变量之间采用完全相同的命名

6、，使可读性降低。说明：子类、父类成员变量名相同，即使是pub1.ic类型的变量也是能够通过编译,而局部变量在同一方法内的不同代码块中同名也是合法的，但是要避免使用。对于非Setter/getter的参数名称也要避免与成员变量名称相同。反例：pub1.icc1.assConfusingNamepubicintage；/非Setter/getter的参数名称，不允许与本类成员变量同名pub1.icvoidgetDataStringa1.ibabaifconditionfina1.intmoney=531；/.for(inii=0；i10：i+)/在同一方法体中，不允许与其它代码块中的money命名

7、相同fina1.intmoney=615：/.c1.assSonextendsConfusingName/不允许与父类的成员变量名称相同pub!icintage：11 .【强制】杜绝完全不规范的缩写，避免望文不知义。反刃：AbStTaC1.C1.ass缩写命名成AbsC1.ass;ConditiOn缩写命名成condi,此类随意缩写严重降低了代码的可阅读性。12 .为了达到代码自解释的目标，任何自定义编程元素在命名时，使用尽量完整的单词组合来表达其意。H例：在JDK中，表达原子更新的类名为：AtomiCReferenCeFieIdUPdaterO反例:inta的随意命名方式。13 .1在常量与

8、变量的命名时，表示类型的名词放在词尾，以提升辨识度。正例：StartTime/WOrkQUeUe/name1.ist/TERMINATED_TIIREAD_COUNT反例：StartedAt/QueueOfWork/IistName/COUNTTERMINATEDTHREAD14 .1如果模块、接口、类、方法使用了设计模式，在命名时需体现出具体模式。说明：将设计模式体现在名字中，有利于阅读者快速理解架构设计理念J例：pub1.icc1.assOrderFactory;pub1.icc1.ass1.oginProxy;pub1.icc1.assResourceObserver:15 .接口类中的

9、方法和属性不要加任何修饰符号（PUbIiC也不要加），保持代码的简洁性，并加上有效的JaVadoC注释。尽量不要在接口里定义变量，如果一定要定义变量，肯定是与接口方法相关，并且是整个应用的基础常量。正例：接口方法签名Voidcommit()；接口基础常量StringCOMPANY=a1.ibabaw;反例：接口方法定义pub1.icabstractvoidf()；说明：JDK8中接口允许有默认实现，那么这个defau1.t方法，是对所有实现类都有价值的默认实现。16 .接口和实现类的命名有两套规则：1)【强制】对于Service和DAO类，基于SOA的理念，暴露出来的服务一定是接口，内部的实现

10、类用ImPI的后缀与接口区别。正例:CacheServiceImp实现CaCheSerViCe接口。2)】如果是形容能力的接口名称，取对应的形容词为接口名(通常是-ab1.e的形容词)。正例：AbStraCtTranSIatOr实现Trans1.atab1.e接口。17 .【参考】枚举类名带上Enum后缴,枚举成员名称需要全大写，单词间用下划线隔开。说明：枚举其实就是特殊的类，域成员均为常量，且构造方法被默认强制是私有。无例:枚举名字为ProcessStatusEnum的成员名称：SUCCESS/UNKN0WN_REAS0No18 .【参考】各层命名规约：ServiceZDAO层方法命名规约1

11、9 获取单个对象的方法用get做前缀。2)获取多个对象的方法用IiSt做前缀，复数形式结尾如：IiStobjeCis。3) 获取统计值的方法用CoUnt做前缀。4) 插入的方法用save/insert做前缀。5) 删除的方法用remove/de1.ete做前缀。6) 修改的方法用update做前级。B)领域模型命名规约1) 数据对象：xxxDO,XXX即为数据表名。2) 数据传输对象：XXXDT0,XXX为业务领域相关的名称。3) 展示对象：XXXVO,XXX一般为网页名称。4) POJO是D0/DT0/B0/V0的统称，禁止命名成xxxP0J0o(二)常量定义1 .【强制】不允许任何魔法值(

12、即未经预先定义的常量)直接出现在代码中。反例:Stringkey=Id#taobao_+trade1.d；cache,put(key,va1.ue)；/缓存get时，由于在代码复制时，漏掉下划线，导致缓存击穿而出现问题2 .【强制】在1.ong或者1.ong赋值时，数值后使用大写的1.,不能是小写的1,小写容易跟数字1混淆，造成误解。说明：1.onga=21；写的是数字的21,还是1.Ong型的203 .)不要使用一个常量类维护所有常量，要按常量功能进行归类，分开维护。说明：大而全的常量类，杂乱无章，使用查找功能才能定位到修改的常量，不利于理解和维护。正例：缓存相关常量放在类CaCheCOnS

13、tS下；系统配置相关常量放在类ConfigConsts下。4 .常量的受用层次有五层：跨应用共享常量、应用内共享常量、子工程内共享常量、包内共享常量、类内共享常量。1)跨应用共享常量：放置在二方库中，通常是c1.ient,jar中的constant目录下。2)应用内共享常量：放置在一方库中，通常是子模块中的constant目录下。反例：易懂变量也要统一定义成应用内共享常量，两位工程师在两个类中分别定义了“YES”的变量：类A中：pub1.icstaticfina1.StringYES=yes；类B中:pub1.icstaticfina1.StringYES=y；A.YES.equa1.s(B.

14、YES),预期是true,但实际返回为fa1.se,导致线上问题。3) 子工程内部共享常量：即在当前子工程的constant目录下。4) 包内共享常量：即在当前包下单独的constant目录下。5) 类内共享常量：直接在类内部privatestaticfina1.定义。1 .1】如果变量值仅在一个固定范围内变化用enum类型来定义。说明：如果存在名称之外的延伸属性应使用e11um类型，下面正例中的数字就是延伸信息，表示一年中的第几个季节。正例:pub1.icenunSeasonEnumSPRIXG(I).S1.MMER12),A1.TUMN(3),WINTER1：privateintseq；S

15、tsisoii1.jiuinuntseq；this,seqseq：pub1.icintgetSeq()returnseq：（三）代码格式2 .【强制】如果是大括号内为空，则简洁地写成（即可，大括号中间无需换行和空格；如果是非空代码块则：1）左大括号前不换行。2）左大括号后换行。3）右大括号前换行。4） 右大括号后还有e1.se等代码则不换行；表示终止的右大括号后必须换行。2 .【强制】左小括号和字符之间不出现空格；同样，右小括号和字符之间也不出现空格；而左大括号前需要空格。详见第5条下方正例提示。反例：if（空格a=b空格）3 .【强制】ifforWhiIeswitch/d。等保留字与括号之间都必须加空格。4 .【强制】任何二目、三目运算符的左右两边都需要加一个空格。说明：运算符包括赋值运算符=、逻辑运算符&、加减乘除符号等。