代码审计报告完整版

代码审计报告

HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】

代码审查报告

xxxx公司

版本信息

文档标识： 当前版本： 草稿 当前状态： 发布 发布日期： 修改历史 版日期 本 作者 修改内容 评审号 变更控制号 评审对象 审查员 项目名称 审查日期 分类 重要检查项 性 备注 命名 成员变量，方法参数等需要使用首字母小写， 命名规则是否与所采用的重要 规范保持一致？ 禁止使用下划线(_)数字等方式命名不要出现局部变量，成员变量大写字母开头等问题 其余单词首字母大写的命名方式， 各种命名尽可能短，表意准确，除2是否遵循了最小长度最多一般 信息原则？ 代替‘to’， 4代替‘for’外，不建议使用数字在命名中 成员变量，方法参数，局部变量等为has/can/is前缀的函数是重要 否返回布尔型？ 如果出现has/can/is开头，则将这些词去掉 布尔型时， 自己实现的类尽量不要和别人的类重名， 重要 类名是否存在重名问题？ 尽管不在同一个包下，特别是子类和父类重名的情况 注释 方法JAVADOC注释中需要说明各参数、返回值 重要 注释是否较清晰且必要？ 及异常说明，参数说明需按照参数名称及用意对应标注 重要 被注释？ 复杂的分支流程是否已经一般 距离较远的}是否已经被 注释？ 函数是否已经有文档注释重要 （功能、输入、返回及其他可选） 文件，类（含接口，枚举等），成员变量， 方法前需要有JAVADOC的注释 一般 特殊用法是否被注释？ 声明、空白、缩 进 每行是否只声明了一个变一般 量（特别是那些可能出错的类型） 重要 时初始化？ 变量是否已经在定义的同类属性是否都执行了初始重要 化？ 一般 空行分隔？ 代码段落是否被合适地以基本代码格式中的空格符不可缺少， 是否合理地使用了空格使一般 程序更清晰？ 这些空格出现在,:,+,-,*,/,=,==,>,<,>=,<=,!=, 及各种括号附近 代码行长度是否在要求之提示 内？ 每行不得超过120个字符 controller，service,dao中不要声明重要 必须通过锁进行控制。 此变量不能被修改。如果要进行修有状态的变量。 改， 一般 折行是否恰当？ 一般 型？ 减少类型转换和警告错误 集合是否被定义为泛型类定义集合时，建议定义其泛型类型， 语句/功能分布/规模 包含复合语句的{}是否成一般 对出现并符合规范？ if,else,else?if,while,for,case重要 语句也加了{} 代码块必须用{}包围 是否给单个的循环、条件等 一般 途？ 单个变量是否只做单个用单行是否只有单个功能重要 （不要使用；进行多行合并） 重要 功能并与其命名相符？ 单个函数是否执行了单个操作符＋＋和——操作符一般 的应用是否符合规范 规模 单个函数不超过规定行重要 数？ 缩进层数是否不超过规重要 定？ 可靠性 （总则/变量和语句） 是否已经消除了所有警重要 告？ 开发工具的警告 常数变量是否声明为重要 final？ 对象使用前是否进行了检重要 查？ 对象初始化为null的对象被调用前成员变量，局部变量是否重要 在使用前被赋值？ 必须被重新赋值， 如果赋值语句在try块中，调用操作必须在try块中 局部对象变量使用后是否一般 被复位为NULL？ 特别是数组集合Map 对数组的访问是否是安全的（合法的index取值为重要 [0,MAX_SIZE-1]）。 是否确认没有同名变量局重要 部重复定义问题? 严禁局部变量名称和类或对象成员变量同名 程序中是否只使用了简单一般 的表达式？ 是否已经用（）使操作符重要 优先级明确化？ 所有判断是否都使用了重要 量.equals(变量)）的形式 （常量==变量或者常常量放在比较符前可以有效降低比较符写成赋值语句， 减少空指针异常 是否每个if-elseif-else语句都有最后一个else重要 以确保处理了全集 是否每个switch-case语重要 句都有最后一个default以确保处理了全集？ for循环是否都使用了包含下限不包含上限的形式一般 （k=0;k=等前后加上一个空格。 一般 格。 逗号之后必须接一个空一般 之间必须有一个空格。 关键字、保留字和左括号SQL注释 对较为复杂的SQL语句加上注释，说明算法、功重要 能。注释风格：注释单独成行、放在语句前面。 重要 能。 对重要的计算应说明其功SQL中尽量少涉及业务逻辑 一般 （--或/**/方式）。 可采用单行/多行注释。SQL优化性能建议 1?书写SQL语句优化细则 重要 1)尽量避免相同语句由于书写格式的不同，而导致 多次语法分析。 2)多表连接时，使用表的重要 别名来引用列。 建议最多5个连接 重要 SELECT*。 3)不要在任何代码中使用4)where条件中尽量减少重要 使用常量比较，改用参数变量。 5)尽量少用嵌套查询。如重要 必须，请用notexist代替notin子句。 重要 子句。 6)用多表连接代替EXISTS7)使用UNIONALL提高性重要 能。 重要 8)in、or子句常会使用工 作表，使索引失效；如果不产生大量重复值，可以考虑把子句拆开；拆开的子句中应该包含索引。 2?排序注意事项 1)大量的排序操作影响系统性能，所以尽量减少重要 orderby和groupby排序操作。如必须使用排序操作，请遵循如下规则： a.排序尽量建立在有索引重要 的列上。 重要 用unionall代替union。 b.如结果集不需唯一，使3?选用索引注意事项 1)对于复合索引，SQL语重要 句必须使用主索引列。 2)索引中，尽量避免使用重要 NULL。 重要 避免使用NOT=（!=）。 3)对于索引的比较，尽量重要 列次序保持一致。 4)查询列和排序列与索引4?其他经验性规则 1)任何对列的操作都将导致表扫描，它包括数据库重要 函数、计算表达式等等，查询时要尽可能将操作移至等号右边。