sonar 问题总结

前言

sonar 是一个代码静态扫描工具，可以在开发阶段规避一些较为明显的问题。现在总结一些工作中经常遇到的扫出来的 bug。

IO Exception

规则原文：

Connections, streams, files, and other classes that implement the Closeable interface or its super-interface, AutoCloseable, needs to be closed after use. Further, that close call must be made in a finally block otherwise an exception could keep the call from being made. Preferably, when class implements AutoCloseable, resource should be created using "try-with-resources" pattern and will be closed automatically.

Failure to properly close resources will result in a resource leak which could bring first the application and then perhaps the box it's on to their knees.

大致意思是：连接，流，文件等需要在使用后关闭。这些操作都应该放在 finally 代码块里面，防止异常情况发生而没有调用关闭资源的代码。

错误代码示例：

private void readTheFile() throws IOException {
  Path path = Paths.get(this.fileName);
  BufferedReader reader = Files.newBufferedReader(path, this.charset);
  // ...
  reader.close();  // Noncompliant
  // ...
  Files.lines("input.txt").forEach(System.out::println); // Noncompliant: The stream needs to be closed
}

直接在方法里面 new 一个资源，这是不对的，因为在 new 后很可能抛出异常，之后的代码都不会执行导致资源没有正确的关闭从而导致资源泄漏。

错误代码示例：

        FileInputStream fileInputStream = null;
        try {
            // do sth
            fileInputStream = new FileInputStream("222");
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } finally {
            fileInputStream.close();
        }

fileInputStream 有可能为 null，有潜在的空指针异常存在。应该加上非空判断。加上非空判断后就是最标准的 IO 流处理了。

        FileInputStream fileInputStream = null;
        try {
            // do sth
            fileInputStream = new FileInputStream("222");
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } finally {
            if(fileInputStream != null){
                 fileInputStream.close();
            }
        }

以上的代码还是略显繁杂，jdk 1.7 增加了 try-with-resource 的新语法糖，编译后的字节码和上面的代码等效。但代码量和可阅读性缺大大增加。

try-with-resource 实例：

        // do sth
        try (FileInputStream fileInputStream = new FileInputStream("222")) {
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        }

写法上就是在 try 后面的括号里面定义资源对象。这些由于都继承了 AutoCloseable 接口，所以会在方法结束前自动关闭资源的占用。题外话 Closeable 接口要求实现者实现幂等关闭操作。AutoCloseable 则没有这个强制要求。

推荐使用 IDEA，这些代码上的潜在问题都会提示你，在代码上按 Alt + Enter 就可以快速安全重构了。

BigDecimal 相关

一些 BigDecimal 相关的操作使用不当也会导致严重 bug，尤其是涉及金钱类的。下面看几个例子。
sonar 规则：

Because of floating point imprecision, you're unlikely to get the value you expect from the `BigDecimal(double)` constructor.

From [the JavaDocs](http://docs.oracle.com/javase/7/docs/api/java/math/BigDecimal.html#BigDecimal(double)):

> The results of this constructor can be somewhat unpredictable. One might assume that writing new BigDecimal(0.1) in Java creates a BigDecimal which is exactly equal to 0.1 (an unscaled value of 1, with a scale of 1), but it is actually equal to 0.1000000000000000055511151231257827021181583404541015625\. This is because 0.1 cannot be represented exactly as a double (or, for that matter, as a binary fraction of any finite length). Thus, the value that is being passed in to the constructor is not exactly equal to 0.1, appearances notwithstanding.

Instead, you should use `BigDecimal.valueOf`, which uses a string under the covers to eliminate floating point rounding errors, or the constructor that takes a `String` argument.

sonar 提示我们，如果使用 double 类型的变量作为构造函数的参数使用会丢失精度。而使用 BigDecimal.valueOf 和使用 String 类型的参数则没有这个问题。

错误代码示例：

        BigDecimal monthBudget = null;
        if (montBudgetObj == null) {
            monthBudget = BigDecimal.ZERO;
        } else {
            monthBudget = new BigDecimal(Double.parseDouble(montBudgetObj.toString()));
        }

正确示例：

            monthBudget = new BigDecimal(montBudgetObj.toString());

还有一个经常被忽略的就是 BigDecimal 的 add 方法返回的结果是需要接收的，不是直接改变原来的变量的。因为 BigDecimal 是不可变类型。

正确示例：

            BigDecimal amount = BigDecimal.ZERO;
            amount = amount.add(journal.getReceiptAmount());

总结

以上两个是比较常见而且在编码阶段比较容易忽略的，借助 sonar 等静态代码扫描工具能够有效的保证我们代码的健壮和可读性。文中提到的知识冰山一角，像空指针异常这种其实才是最难发现的，也是 sonar 扫描带来最大的价值。大家感兴趣也可以参照本文实践一下。

最后编辑于：2018.06.28 10:23:45

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 205,033评论 6赞 478
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 87,725评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 151,473评论 0赞 338
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,846评论 1赞 277
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,848评论 5赞 368
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,691评论 1赞 282
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,053评论 3赞 399
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,700评论 0赞 258
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 42,856评论 1赞 300
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,676评论 2赞 323
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,787评论 1赞 333
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,430评论 4赞 321
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,034评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,990评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,218评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,174评论 2赞 352
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,526评论 2赞 343

sonar 问题总结

前言

IO Exception

BigDecimal 相关

总结

推荐阅读更多精彩内容