静态代码分析,在 Windows 平台上长期受到忽视,近几年却变得越来越重要。静态分析重新获得关注,始于一款 Microsoft 内部的工具——FX Cop,由于它非常受欢迎,所以微软将其公开发布。在 Visual Studio 2005 中,FX Cop 作为 Visual Studio 团队开发版的一部分集成到该 IDE 中。
带有附加功能或免除单元测试需要的第二代工具正在研发当中,包括.NET4 的 Code Contracts 和自主研发的 NStatic 。
托管代码并不是唯一获得关注的领域。Ubitsoft 公司正对 T-SQL 应用相同的技术。随着数据库增长,封装在 T-SQL 中的业务逻辑数量变化相当明显,有时候甚至在重要性方面胜过普通代码。要协助管理这一情况,Ubitsoft 公司创建了 SQL Enlight 。我们就此和他们的开发主管 Iliyan Stoyanov 进行了沟通。
这是个相当新颖的产品,你可以给我们一些关于 SQL Enlight 如何诞生的背景吗?
我们设计 SQL Enlight 作为 T-SQL 管理和反射工具,但由于我们需要更多的时间来实现心中的所有想法,所以决定先发布 T-SQL 重格式化功能,稍后逐步来添加新功能。
你决定对 Transact-SQL 脚本分析提供支持是基于哪一点考虑呢?
从本项目开始,该分析功能就是我们其中一个目标,但我们决定推迟它的发布,直到我们完成 T-SQL 语法分析器扩展为止,它支持新的 SQL Sever 2005 T-SQL 语法。
你如何决定给分析添加哪些规则呢?
我们实现的分析规则基本上来自互联网找到的提示和实践,或者来自 SQL Enlight 用户提交给我们的分析规则请求。
你们的技术支持提到过你正研发一个新版本,它会对整个数据库进行分析。可以给我提供一些关于它的信息吗?
是的。我们正研发新的 1.6 版本,它将是我们 SQL Enlight1.x 版本的里程碑。该新版本会包含两项重要特性——创建自定义分析规则功能和支持在数据库上运行分析。我们也打算包含命令行工具和 MsBuild 任务。
SQL Enlight 当前版本支持这些分析规则。
设计
- 包括 NULL 常量在内的相等和不等比较
- 非 ANSI 外部联接语法
- 非 ANSI 内部联接语法
- 过时的语法,字符串 _ 别名 = 表达式
- 在执行数据操作语句(像 INSERT/UPDATE/DELETE) 之后,使用 TRY…CATCH 结构或者检查该 @@ERROR 变量
- 在存储过程、视图和表值函数中支持 SELECT *
- 使用 SCOPE_IDENTITY() 替换 @@IDENTITY
- 支持 ORDER BY 子句中使用常量已经过时
- TOP 子句用在不带 ORDER BY 子句的查询
- 在 INSERT 语句中总是使用列的列表
- 反对不带 WITH 关键字的表提示用法
- (聚集或非聚集)索引类型未指定
- 避免使用 GOTO 语句来改善可读性
- 考虑使用括号来改善可读性和避免由于逻辑操作符的优先级导致的错误。
命名
- 在命名函数的时候避免使用“fn_”前缀
- 在命名存储过程的时候避免使用“sp_”前缀
性能
- 变量 @variable 已声明但从未使用
- 变量 @variable 已使用但之前未分配
- 变量 @variable 已分配但其值从未使用
- 在 LIKE 谓词中以“%”开始的模式
- 考虑使用表变量来代替临时表
- 在触发器中避免返回结果
- 使用非常小的变量长度类型(大小为 1 或者 2)
- 在存储过程和触发器中使用“SET NOCOUNT ON”选项
- 在 WHERE 子句中避免使用不等操作符(<>,!=)
- 本地游标没有关闭
- 本地游标无明确释放
- 本地游标引用无明确释放
- 在 WHERE 子句的函数中避免封装过滤列
- 可以从 WHERE 子句中提取确定性函数调用,避免不必要的表扫描
- 输入参数从未使用
- 输出参数从未赋值
- 在 WHERE 子句中避免使用“NOT IN”谓词
- 不要使用不带聚合函数的“GROUP BY”子句
查看英文原文: Static Code Analysis for T-SQL
评论