注:本文轉自孟巖的博客(http://blog.csdn.net/myan)
假設你現在正在面試�����,主考不緊不慢地給出下一道題目:“請用C語言寫一個類似strcpy的函數。要考慮可能發生的異常情況���。” 你會怎么做呢��?很明顯,對方不是在考察你的編程能力,因為復制字符串實在太容易了���。對方是在考察你的編程風格(習慣)�����,或者說,要看看你編碼的質量。
下面是多種可能的做法:
void
string_copy1(char* dest, const char* source)
{
assert(dest != NULL); /* 使用斷言 */
assert(source != NULL);
while (*source != ‘\0′) {
*dest = *source;
++dest;
++source;
}
*dest = ‘\0′;
}
void
string_copy2(char* dest, const char* source)
{
if (dest != NULL && source != NULL) { /* 對錯誤消極靜默 */
while (*source != ‘\0′) {
*dest = *source;
++dest;
++source;
}
*dest = ‘\0′;
}
}
int
string_copy3(char* dest, const char* source)
{
if (dest != NULL && source != NULL) {
while (*source != ‘\0′) {
*dest = *source;
++dest;
++source;
}
*dest = ‘\0′;
return SUCCESS; /* 返回表示正確的值 */
}
else {
errno = E_INVALIDARG; /* 設定錯誤號 */
return FAILED; /* 返回表示錯誤的值 */
}
}
// C++
void
string_copy4(char* dest, const char* source)
{
if (dest == NULL || source == NULL)
throw Invalid_Argument_Error(); /* 拋出異常 */
while (*source != ‘\0′) {
*dest = *source;
++dest;
++source;
}
*dest = ‘\0′;
}
如果你是主考,不知道面對這樣四份答卷���,你的評分如何�����?當然�����,你可以心里揣著一個“標準答案”��,“順我者昌,逆我者亡”��。但是如果以認真的態度面對這四份答卷���,我想很多人都會難以抉擇��。
因為這里涉及到了軟件開發中的一個帶有本質性的難題——錯誤處理。
歷來錯誤處理一直是軟件開發者所面臨的最大困難之一。Bjarne Stroustrup在談到其原因時說道�����,能夠探察錯誤的一方不知道如何處理錯誤,知道如何處理錯誤的一方沒有能力探察錯誤,而直接采用防御性代碼來解 決,會使得程序的正常結構被打亂,從而帶來更多的錯誤��。這種困境是非常難以應對的——費心耗力而未必有回報��。因此�����,更多的人采用鴕鳥戰術�����,對可能發生的錯 誤視而不見,任其自然�����。
C++��、Java和其他語言對錯誤處理問題的回答是異常機制���。這種機制在正常的程序執行流之外開辟了專門的信道�����,專門用來在不同程序模塊之間報告錯誤���,解 決上述錯誤探察與處理策略分散的矛盾。然而�����,有了異常處理機制后,開發者開始有一種傾向,就是使用異常來處理所有的錯誤���。我曾經就這個問題在 comp.lang.c++.moderated上展開討論��,結果是發現有相當多的人���,包括Boost開發組里的很多專家,都認為異常是錯誤處理的通用解 決方案�����。
對此我不能贊同。并且我認為濫用異常比不用異常的危害更大�����。
The Pragmatic Programmer是一本在國外程序員中間頗為流行的書�����,其中在講到錯誤處理時��,有一句箴言:
“只在真正異常的狀況下使用異常。”
書中舉了一個例子�����,如果你需要當前目錄下的一個名叫“app.dat”的文件��,而這個文件不存在��,那么這不叫異常狀況,這是你應該預料到的、并且顯式處理 的情況。而如果你要到Windows目錄下尋找user.dat文件���,卻沒找到��,那才叫做異常狀況——因為每一個正常運行的Windows系統都應該有這 個文件�����。
我非常贊成書中的那句忠告,可是究竟什么是“真正異常”的狀況��?書中的這個例子顯然只是一個頗具感性的��、寓言似的故事��,具有所有寓言的共同特點——讀起來覺得豁然開朗,收獲很大��,實際上幫不了你什么忙�����。這種例子對于我們的實際開發,仍然提供不了真正的幫助�����。
究竟應該如何看待錯誤?怎樣才能最好地錯誤處理���?
說實話���,在這兩個問題上��,我們所見到的大部分語言都沒有給出很好的回答��。C秉承一貫風格��,把所有的東西推給開發者考慮;Ada發明了異常��,但是又為異常所 累(知道阿里亞納5火箭的處女航為什么失敗嗎��?);C++企圖將Ada的異常機制融合進自己的體系中�����,結果異常成了C++中最難以處理的東西��;Java和 C#顯然都沒有耐心重新考慮錯誤處理這樁事,而只是簡單的將C++的異常機制完善化了事�����。
與上述這些語言不同��,Eiffel從一開始就把錯誤處理放在核心的位置上予以考慮��,并以“契約”思想為核心��,建立了整個的錯誤處理思想體系。在我了解的語 言里,Eiffel是對這個問題思考最為深刻一個�����,因此��,Eiffel歷來享有“高質量系統開發語言”的聲譽�����。(事實上���,Bertrand Meyer很不喜歡別人稱Eiffel為“編程語言”���,他反復強調���,Eiffel是一個Software Development Framework���。不過本文只涉及語言特性�����,所以姑且稱Eiffel語言���。)
Eiffel把軟件錯誤產生的本質歸結與“契約”的破壞��。Eiffel認為���,一個軟件能夠正常運作��,正確完成任務���,是需要一系列條件的。這些條件包括客觀 運行環境良好���,操作者操作正確,軟件內部功能正確等等�����。因此�����,軟件的正確運行,是環境�����、操作者與軟件本身三方面合作的結果��。相應的,系統的錯誤��,也是由于 三者中有一方沒有正確履行自己的職責而導致的�����。細化到軟件內部���,每個軟件都是由若干不同的模塊組成的,軟件的錯誤���,是由于某些模塊沒有正確履行自己的職 責。要徹底杜絕軟件錯誤��,只有分清各自模塊的責任��,并且建立機制,敦促各模塊正確履行自己的責任���,然后才有可能做到Bug-free。(鑒于系統中錯綜復 雜的關系���,以及開發者認識能力的局限,我認為真正無錯誤的系統是不可能的�����。但是當前一般軟件系統中的質量問題遠遠比應有的嚴重���。)
如何保證各方恪守職責呢��?Eiffel引入了契約(Contract)這個概念。這里的契約與我們通常所說的商業契約很相似,有以下幾個特點:
1. 契約關系的雙方是平等的,對整個bussiness的順利進行負有共同責任,沒有哪一方可以只享有權利而不承擔義務�����。
2. 契約關系經常是相互的�����,權利和義務之間往往是互相捆綁在一起的���;
3. 執行契約的義務在我����,而核查契約的權力在人�����;
4. 我的義務保障的是你的利益��,而你的義務保障的是我的利益;
將契約關系引入到軟件開發領域,尤其是面向對象領域之后���,在觀念上給我們帶來了幾大沖擊:
1. 一般的觀點,在軟件體系中,程序庫和組件庫被類比為server���,而使用程序庫、組件庫的程序被視為client。根據這種C/S關系�����,我們往往對庫程序 和組件的質量提出很嚴苛的要求�����,強迫它們承擔本不應該由它們來承擔的責任,而過分縱容client一方�����,甚至要求庫程序去處理明顯由于client錯誤造 成的困境���?��?陀^上導致程序庫和組件庫的設計和編寫異常困難,而且質量隱患反而更多;同時client一方代碼大多松散隨意�����,質量低劣���。這種情形�����,就好像在 一個權責不清的企業里�����,必然會養一批尸位素餐的混混,苦一批任勞任怨,不計得失的老黃牛��。引入契約觀念之后���,這種C/S關系被打破��,大家都是平等的,你需 要我正確提供服務���,那么你必須滿足我提出的條件,否則我沒有義務“排除萬難”地保證完成任務��。
2. 一般認為在模塊中檢查錯誤狀況并且上報���,是模塊本身的義務��。而在契約體制下���,對于契約的檢查并非義務���,實際上是在履行權利��。一個義務,一個權利�����,差別極大��。例如上面的代碼:
if (dest == NULL) { … }
這就是義務��,其要點在于,一旦條件不滿足�����,我方(義務方)必須負責以合適手法處理這尷尬局面���,或者返回錯誤值�����,或者拋出異常。而:
assert(dest != NULL);
這是檢查契約,履行權利。如果條件不滿足,那么錯誤在對方而不在我�����,我可以立刻“撕毀合同”��,罷工了事���,無需做任何多余動作�����。這無疑可以大大簡化程序庫和組件庫的開發。
3. 契約所核查的�����,是“為保證正確性所必須滿足的條件”,因此�����,當契約被破壞時��,只表明一件事:軟件系統中有bug��。其意義是說,某些條件在到達我這里時�����,必 須已經確保為“真”�����。誰來確保?應該是系統中的其他模塊在先期確保。如果在我這里發現契約沒有被遵守,那么表明系統中其他模塊沒有正確履行自己的義務�����。就 拿上面提到的“打開文件”的例子來說���,如果有一個模塊需要一個FILE*�����,而在契約檢查中發現該指針為NULL��,則意味著有一個模塊沒有履行其義務,即 “檢查文件是否存在,確保文件以正確模式打開,并且保證指針的正確性”�����。因此�����,當契約檢查失敗時�����,我們首先要知道這意味著程序員錯誤,而且要做的不是糾正 契約核查方,而是糾正契約提供方��。換句話說��,當你發現:
assert(dest != NULL);
報錯時���,你要做的不是去修改你的string_copy函數,而是要讓任何代碼在調用string_copy時確保dest指針不為空��。
4. 我們以往對待“過程”或“函數”的理解是:完成某個計算任務的過程�����,這一看法只強調了其目標�����,沒有強調其條件。在這種理解下�����,我們對于exception 的理解非常模糊和寬泛:只要是無法完成這個計算過程��,均可被視為異常�����,也不管是我自己的原因,還是其他人的原因(典型的權責不清)��。正是因為這種模糊和寬 泛�����,“究竟什么時候應該拋出異常”成為沒有人能回答的問題�����。而引入契約之后��,“過程”和“函數”被定義為:完成契約的過程。基于契約的相互性�����,如果這個契 約的失敗是因為其他模塊未能履行契約��,本過程只需報告,無需以任何其他方式做出反應�����。而真正的異常狀況是“對方完全滿足了契約��,而我依然未能如約完成任 務”的情形���。這樣以來��,我們就給“異常”下了一個清晰、可行的定義�����。
5. 一般來說��,在面向對象技術中�����,我們認為“接口”是唯一重要的東西,接口定義了組件��,接口確定了系統��,接口是面向對象中我們唯一需要關心的東西���,接口不僅是 必要的��,而且是充分的��。然而���,契約觀念提醒我們�����,僅僅有接口還不充分,僅僅通過接口還不足以傳達足夠的信息,為了正確使用接口��,必須考慮契約���。只有考慮契 約���,才可能實現面向對象的目標:可靠性��、可擴展性和可復用性��。反過來,“沒有契約的復用根本就是瞎胡鬧。(Bertrand Meyer語)”�����。
由上述觀點可以看出���,雖然Eiffel所倡導的Design By Contract在表象上不過是系統化的斷言(assertion)機制��,然而在背后�����,確實是完全的思想革新��。正如Ivar Jacoboson訪華時對《程序員》雜志所說:“我認為Bertrand Meyer的方向——Design by Contract——是正確的方向,我們都會沿著他的足跡前進���。我相信��,大型廠商(微軟�����、IBM,當然還有Rational)都不會對Bertrand Meyer的成就坐視不理。所有這些廠商都會在這個方向上有所行動�����。”