编辑“︁Django代码审查”︁（章节）

= Django代码审查 =

'''Django代码审查'''（Code Review）是指通过系统化的检查流程，对Django项目中的代码进行质量评估、错误检测和优化建议的过程。它是确保代码可维护性、安全性和性能的关键实践，尤其适用于团队协作开发场景。

== 概述 ==
代码审查在Django开发中具有以下核心目标：
* 检测逻辑错误和潜在漏洞
* 确保符合[[PEP 8]]和Django编码规范
* 验证代码结构与设计模式合理性
* 提高团队知识共享
* 减少技术债务

=== 审查内容层级 ===
<mermaid>
graph TD
    A[Django代码审查] --> B[代码风格]
    A --> C[安全实践]
    A --> D[性能优化]
    A --> E[架构设计]
    B --> B1(PEP 8合规性)
    C --> C1(SQL注入防护)
    D --> D1(查询优化)
    E --> E1(应用结构分层)
</mermaid>

== 核心审查项 ==

=== 1. 代码风格检查 ===
使用工具如`flake8`进行自动化检查：

<syntaxhighlight lang="bash">
# 安装检查工具
pip install flake8 pylint-django

# 运行检查
flake8 --exclude=migrations --max-line-length=120 .
</syntaxhighlight>

典型问题示例：
<syntaxhighlight lang="python">
# 不良实践：未使用get_object_or_404
def user_detail(request, user_id):
    try:
        user = User.objects.get(pk=user_id)
    except User.DoesNotExist:
        return HttpResponseNotFound()
    
# 最佳实践
from django.shortcuts import get_object_or_404

def user_detail(request, user_id):
    user = get_object_or_404(User, pk=user_id)
</syntaxhighlight>

=== 2. 安全审查 ===
关键检查点：

{| class="wikitable"
|-
! 风险类型 !! 检测方法 !! 修复方案
|-
| CSRF | 检查`@csrf_exempt`滥用 | 使用`@csrf_protect`
|-
| XSS | 检查未转义的模板输出 | 使用`{{ variable|escape }}`
|-
| SQL注入 | 检查原始SQL拼接 | 使用参数化查询
|}

示例安全修复：
<syntaxhighlight lang="python">
# 危险写法
query = "SELECT * FROM users WHERE username = '%s'" % request.GET['username']

# 安全写法
from django.db import connection
with connection.cursor() as cursor:
    cursor.execute("SELECT * FROM users WHERE username = %s", [request.GET['username']])
</syntaxhighlight>

=== 3. 性能审查 ===
重点检查数据库查询：

<syntaxhighlight lang="python">
# 问题代码：N+1查询
users = User.objects.all()
for user in users:
    print(user.profile.bio)  # 每次循环产生新查询

# 优化方案：select_related
users = User.objects.select_related('profile').all()
</syntaxhighlight>

使用`django-debug-toolbar`分析查询：

<mermaid>
pie
    title 查询时间分布
    "有效查询" : 65
    "重复查询" : 25
    "冗余查询" : 10
</mermaid>

== 审查流程实践 ==

=== 1. 预提交检查 ===
配置`pre-commit`钩子示例：
<syntaxhighlight lang="yaml">
# .pre-commit-config.yaml
repos:
- repo: https://github.com/PyCQA/flake8
  rev: 3.9.2
  hooks:
    - id: flake8
      additional_dependencies: [flake8-django]
</syntaxhighlight>

=== 2. 同行评审 ===
使用GitHub/GitLab的Pull Request模板：

```markdown
## 变更说明
[描述修改目的]

## 测试验证
- [ ] 单元测试通过
- [ ] 手动测试步骤

## 审查重点
- [ ] 安全影响
- [ ] 性能影响
- [ ] 向后兼容
```

=== 3. 自动化集成 ===
CI管道配置示例（GitLab CI）：
<syntaxhighlight lang="yaml">
stages:
  - lint
  - test

flake8:
  stage: lint
  script:
    - pip install flake8
    - flake8 --exclude=migrations .

pytest:
  stage: test
  script:
    - pip install -r requirements.txt
    - python manage.py test
</syntaxhighlight>

== 高级审查技巧 ==

=== 架构模式验证 ===
检查是否符合Django的设计哲学：

<math>
\begin{cases}
\frac{\text{业务逻辑}}{\text{views.py}} \leq 0.3 \\
\frac{\text{模型方法}}{\text{models.py}} \geq 0.7
\end{cases}
</math>

=== 信号(Signals)滥用检测 ===
常见反模式：
<syntaxhighlight lang="python">
# 过度使用信号导致隐式耦合
@receiver(post_save, sender=User)
def handle_user_save(sender, instance, **kwargs):
    # 包含复杂业务逻辑
    ...
</syntaxhighlight>

建议替代方案：
* 显式服务层调用
* 自定义管理器方法
* 领域事件模式

== 案例研究 ==

'''电商平台订单处理审查发现：'''

1. 问题代码：
<syntaxhighlight lang="python">
def create_order(request):
    items = request.POST.getlist('items')
    total = sum(Item.objects.get(pk=i).price for i in items)  # 多次查询
    ...
</syntaxhighlight>

2. 优化方案：
<syntaxhighlight lang="python">
def create_order(request):
    item_ids = request.POST.getlist('items')
    items = Item.objects.filter(id__in=item_ids)  # 单次查询
    total = sum(item.price for item in items)
    ...
</syntaxhighlight>

优化效果：
* 查询次数从O(n)降为O(1)
* 响应时间从1200ms降至200ms

== 工具推荐 ==
* 静态分析：`bandit`（安全专项）、`radon`（复杂度分析）
* 动态检查：`django-test-plus`、`pytest-django`
* 可视化：`pycallgraph`（调用跟踪）

== 总结 ==
有效的Django代码审查应：
# 建立自动化检查基线
# 实施分层审查策略
# 平衡严格性与实用性
# 持续优化审查清单

通过系统化的代码审查，Django项目可维护性平均可提升40%（数据来源：2022年Python开发者调查报告）。建议将审查流程纳入团队的标准开发工作流。

[[Category:后端框架]]
[[Category:Django]]
[[Category:Django最佳实践]]