Belt and Braces 编程是好的实践还是只是引入了不必要的复杂性？

Question

我想知道是否使用 腰带和背带（吊带） 方法进行编程 - 以及特别是数据验证 - 是否是好的做法。 这是从下面的例子中得出的。

我正在创建一个表单，并向所有字段添加了侦听器，这意味着仅当表单中的所有字段都具有有效值时，才会启用 OK 按钮。 然后我编写了单击“确定”按钮时运行的代码。

我悲观的一面认为腰带和支架永远不会伤害任何人，并且再次验证表单不会有什么坏处，以防我的表单逻辑中存在错误。

但后来我不知道如果验证失败该输入什么。 如果我做这样的事情：

if (! form.isValid()) {
  displayErrorMessage();
}

那么我必须创建代码来显示一条永远不应该显示的错误消息。 任何将来维护此代码的人都会担心，并可能会被这个理论上不必要的对话所困惑。 我最不想看到的就是有人想知道为什么这个特定的对话框永远不会显示。

天平另一端的一个选择是：

if (! form.isValid()) {
  throw new RuntimeException("This should never happen!");
}

坦率地说，即使输入这个，我也觉得很脏，但也许有一个我错过的使用它的充分理由。

所以最后我得到了：

assert form.isValid();

然而，这样做的缺点是它不是真正的腰带和背带，因为背带在运行时不存在，所以如果代码中有错误，我的表单的裤子仍然会掉下来原来如此。

所以也许我根本不应该接受额外的验证，但我仍然有一部分认为这不会造成伤害。

我很想听听您在类似情况下会做什么。

（编辑：问题是确保表单返回有效数据的最佳方法是什么。假设表单的输出在最终进入数据库之前再次验证，依此类推。）

Answer 1

我不做太多 UI 工作，但最近我发现自己在做一些非常类似的事情。
我留下了腰带（在每个控件发生变化时验证它）和大括号（在 OK_Click 上检查再次有效）。

我将两者都保留在其中，因为如果将来的某些更改错过了控件的验证，则单击“确定”按钮时将会捕获该更改。

在我看来，对“确定”的检查是真正的验证，而每个控件的验证只是增强用户体验的糖。

话虽如此，我并没有考虑太多，而且我也不经常做 UI 工作。

Answer 2

根据我的经验，“以防万一”代码有时是懒惰编程的症状。 即，我找到了一个基本上有效的解决方案，我不确定它是否总是有效，所以我将添加一些双重检查代码“以防万一”。 如果你不打算向月球发射火箭飞船，这种事情相对无害，但仍然可能是非常糟糕的做法。

对于我的（非火箭式）业务应用程序，我总是放入错误日志和友好消息，并尝试从头到尾思考问题，以便用户尽可能少地看到友好消息。 如果出现问题，我能够更好地修复它，因为我的代码不会因各种不必要的检查而变得混乱。

Answer 3

我的同事通常会对输入进行双重验证，“以防万一”。 我认为这在很大程度上取决于与您一起工作的人或必须维护您的代码的人。 如果你总是双重验证，他们很快就会明白你在做什么。 如果你只是偶尔进行双重验证，他们可能会感到困惑。 也许您应该咨询同事的习惯？ 如果您单独工作或在一个很小的团队中工作，那么双重验证您的输入可能是可以的。

如果我要接管你的代码，我认为重要的事情可能是遵循约定，要么总是或从不在这两个地方都进行验证。 至少这样我就不会感到困惑。

编辑：就 Web 编程而言，JavaScript 通常用于在将输入发送到服务器之前进行验证。 显然，这还不够，因为用户可以关闭 JavaScript 并绕过验证，因此在这种情况下需要服务器端验证。 在任何情况下，如果用户可能恶意或意外地绕过第一行验证，则必须在后端进行双重检查。 我想这在 Java、C# 等中不是什么问题。

Answer 4

我还想说，双重验证不会伤害任何人，只会增加安全性。

我还想提出一个关于您的业务逻辑的观点。 我假设这是一个 Winforms 应用程序，但该原理也适用于 Web。 UI 不应该强制执行业务逻辑。 将验证放在那里很好，但它也需要放在业务逻辑中。

Answer 5

无论您决定做什么，只要确保记录意外状态并以某种方式使程序失败以防止数据损坏即可。 就我个人而言，我认为对于我不希望出现错误的情况来说，这是必需的并且足够的。

Answer 6

在网络（没有双关语）编程中，人们总是会采用这种方法，因为你不能依赖实际运行的客户端验证； 狡猾的用户可以构建一个表单帖子或 URL 来模拟您的客户端并将数据发送回服务器。

在独立应用程序中，情况不太清楚。 我建议这取决于验证发生的地点。 例如，如果您的验证在业务逻辑中运行，而不是在 UI 中运行，那么您的验证应该每次都运行。 使用关注点分离，业务逻辑不应依赖于 UI 来进行验证。 毕竟，业务逻辑可以从典型的 GUI、Web 应用程序甚至 API 调用。

我建议的一件事是，在 UI 中加倍验证逻辑可能有点矫枉过正，但您应该能够处理底层产生的错误。 在这种情况下，错误可能是由验证引起的。

Answer 7

我建议从纯粹的可用性角度来看待这个问题。 您的用户在填写表格时应该如何工作？ 大多数时候，我建议在控件和表单级别上进行验证。 当然，您可以使用多种用户交互风格：

1. 让用户做他们想做的事，然后检查他们的结果就OK了。 这对于专家用户来说非常有用，允许他们快速、增量地输入内容，但会让新手和不常使用的用户感到茫然。
2. 在进入或离开时验证每个控件。 这可能很好，特别是对于复杂的形式（当然我们不应该设计，永远，真的，但是......！）； 但做得不好会阻止人们按照自己的顺序逐步填写表格。 如果我这样做，我更喜欢视觉指示，表明出现了问题。
3. 使得不可能输入任何错误的东西。 这可以（几乎）通过例如数字滑块、受限标量的组合框、防止错误输入的自动验证编辑框来实现。

然而，即使在情况 3 中，在某些情况下您也必须检查值的组合是否有效。 我曾经处理过一些情况，其中某些控件子集中的值相互依赖（由方程控制）。 在这些情况下，为用户提供即时反馈并不总是可行或值得付出努力，因此始终可以创建一个案例来验证“OK”。

我同意 Binary Worrier 的观点，即 OK 检查是主要的。 如果您确定它永远不会失败，请务必在触发时记录警告，并在可能的情况下通过支持渠道嗅探此类事件，但不要让最终用户为编程错误付出代价。

Answer 8

我将给出一个非常不受欢迎的答案。

我的答案是：这取决于。

在人们开始愤怒地从椅子上站起来并在拿铁咖啡中添加额外的泡沫以发泄愤怒之前，请听我说完。

我修改了一个使用共享文件的ERP包。 别笑，这是日常工作。 无论如何，该系统在设计上有一个缺陷 - 它会在输入时验证数据，然后一旦写出记录，就会由于一次性验证而始终假设它是正确的。

这听起来像一个合理的方法，直到您遇到丢失数据字段、崩溃的会话、您看不到的 RAM 损坏的机器、未检测到的 LAN 连接不稳定的机器，以及编程语言本身偶尔出现一个（或两个）错误。 记录写了一半，字段可能会丢失数据，索引偶尔会无缘无故地崩溃……这样的例子不胜枚举。

现在，提供软件的供应商在很大程度上与皮带和吊带竞争，因为，嘿，时间就是金钱，而他们的业务是销售他们的产品（软件）。 每 15 分钟编写额外的健全性检查的时间就有 15 分钟可以用来产生收入。 但他们不会在凌晨 3 点接到呼叫来修复崩溃的会话或释放令人讨厌的死锁。 是的。

因此，我将断言的粗略等价物添加到我编写的过程、函数和方法中。 我对传递的数据类型进行完整性检查（它使所有变量变体），我尝试在可能的情况下交叉引用数据，并在代码中寻找“疯狂”的其他迹象。 当例程发现类似于暮光区的东西时，它会给出一个诊断对话框（用户通常会截屏并发送给我），然后尝试优雅地失败； 如果不能正常失败，用户通常会看到保存进度并注销的说明。

这是腰带和吊带吗？ 是的。我喜欢这样做吗？ 不。它是否多次挽救了我的理智、睡眠时间和培根？

是的。 哦，是的...

所以，如果您有一个“敌对”的编程环境，您不能总是信任输入代码的数据，这是合理的嵌入各种健全性检查......全程穿着腰带和吊带。

否则，就不需要了。

Answer 9

我认为腰带和背带不是一个好的做法。

如果需要极高的可靠性，例如宇宙飞船软件的情况，那么保证它的方法是提供并行运行的多个不同的实现，所有这些实现都提供相同的输入，并且都期望提供相同的输出。 显然，那不是腰带和背带，而是别的东西。

如果极端的可靠性不是问题，那么腰带和背带实际上只会以您自己发现的方式使事情变得复杂。

您最终得到的断言是最好的做法，因为断言旨在捕获错误并记录代码，而这正是当前情况下发生的情况：如果表单在您的点无效断言，那么您的表单中的其他地方就有错误，并且该断言本质上记录了这样一个事实：此时在您的代码中您期望表单的有效性已经得到处理。 此外，应该在应用程序的测试阶段消除发生此错误的可能性，因此它永远不会在生产中发生，这再次符合断言的目的和预期用途。

如果您确实喜欢皮带和大括号范例，那么您仍然可以将断言视为皮带和大括号方案的一部分，但要在正确的上下文中：测试。 这个断言在测试期间是带和大括号的，因为它保证您在代码中的其他地方完成了所有正确的测试。