类和对象：

• 单一职责原则
• 开闭原则
• 里氏替换原则
• 接口隔离
• 依赖倒置

错误处理：

• 捕获并处理所有错误
• 有意义的错误消息
• 适当的日志记录
• 无静默失败
• 用户界面友好的错误提示

代码质量：

• 无代码重复（DRY 原则）
• 无死代码
• 无注释掉的代码
• 无魔法数字
• 格式一致

步骤 4：安全审查

输入验证：

• 验证所有用户输入
• 类型检查
• 范围检查
• 格式验证

认证与授权：

• 适当的认证检查
• 敏感操作的授权
• 会话管理
• 密码处理（哈希、加盐）

数据保护：

• 无硬编码的密钥
• 敏感数据加密
• SQL 注入预防
• XSS 预防
• CSRF 防护

依赖项：

• 无易受攻击的包
• 依赖项保持最新
• 最小化依赖使用

步骤 5：性能审查

算法：

• 算法选择合适
• 时间复杂度合理
• 空间复杂度合理
• 无不必要的循环

数据库：

• 高效的查询
• 适当的索引
• 防止 N+1 查询问题
• 连接池

缓存：

• 适当的缓存策略
• 处理缓存失效
• 内存使用合理

资源管理：

• 文件正确关闭
• 连接正确释放
• 防止内存泄漏

步骤 6：测试审查

测试覆盖率：

• 新代码有单元测试
• 需要时包含集成测试
• 覆盖边界情况
• 测试错误情况

测试质量：

• 测试可读性强
• 测试可维护性强
• 测试具有确定性
• 无测试相互依赖
• 适当的测试数据设置/清理

测试命名：

# 良好
def test_user_creation_with_valid_data_succeeds():
    pass

# 不佳
def test1():
    pass

步骤 7：文档审查

代码注释：

• 解释复杂逻辑
• 无显而易见的注释
• TODO 有对应的工单
• 注释准确

函数文档：

def calculate_total(items: List[Item], tax_rate: float) -> Decimal:
    """
    计算含税总价。

    参数：
        items: 要计算总价的物品列表
        tax_rate: 税率，小数形式（例如，0.1 表示 10%）

    返回：
        含税总价

    抛出：
        ValueError: 如果税率为负数
    """
    pass

README/文档：

• 需要时更新 README
• 更新 API 文档
• 如有破坏性变更，提供迁移指南

步骤 8：提供反馈

建设性反馈：

✅ 良好：
"考虑将此逻辑提取到单独的函数中，以提高可测试性和可重用性：

def validate_email(email: str) -> bool:
    return '@' in email and '.' in email.split('@')[1]

这将使其更易于测试并在整个代码库中重用。"

❌ 不佳：
"这是错误的。重写它。"

具体明确：

✅ 良好：
"在第 45 行，此查询可能导致 N+1 问题。考虑使用
.select_related('author') 在单个查询中获取相关对象。"

❌ 不佳：
"此处存在性能问题。"

问题优先级：

• 🔴 严重：安全、数据丢失、重大错误
• 🟡 重要：性能、可维护性
• 🟢 锦上添花：风格、小改进

肯定优秀工作：

"这里策略模式的使用很棒！这使得未来添加新的支付方式变得容易。"

审查清单

功能性

• 代码实现了预期功能
• 处理了边界情况
• 处理了错误情况
• 无明显的错误

代码质量

• 命名清晰、具有描述性
• 函数小巧且专注
• 无代码重复
• 与代码库风格一致
• 无代码异味

安全性

• 输入验证
• 无硬编码的密钥
• 认证/授权
• 无 SQL 注入漏洞
• 无 XSS 漏洞

性能

• 无明显的瓶颈
• 高效的算法
• 适当的数据库查询
• 资源管理

测试

• 包含测试
• 良好的测试覆盖率
• 测试可维护性强
• 测试了边界情况

文档

• 代码具有自解释性
• 需要时有注释
• 文档已更新
• 破坏性变更已记录

常见问题

反模式

上帝类：

# 不佳：一个类做所有事情
class UserManager:
    def create_user(self): pass
    def send_email(self): pass
    def process_payment(self): pass
    def generate_report(self): pass

魔法数字：

# 不佳
if user.age > 18:
    pass

# 良好
MINIMUM_AGE = 18
if user.age > MINIMUM_AGE:
    pass

深层嵌套：

# 不佳
if condition1:
    if condition2:
        if condition3:
            if condition4:
                # 深层嵌套的代码

# 良好（提前返回）
if not condition1:
    return
if not condition2:
    return
if not condition3:
    return
if not condition4:
    return
# 扁平化的代码

安全漏洞

SQL 注入：

# 不佳
query = f"SELECT * FROM users WHERE id = {user_id}"

# 良好
query = "SELECT * FROM users WHERE id = %s"
cursor.execute(query, (user_id,))

XSS：

// 不佳
element.innerHTML = userInput;

// 良好
element.textContent = userInput;

硬编码的密钥：

# 不佳
API_KEY = "sk-1234567890abcdef"

# 良好
API_KEY = os.environ.get("API_KEY")

最佳实践

1. 及时审查：不要让作者等待
2. 尊重他人：关注代码，而非个人
3. 解释原因：不要只说哪里错了
4. 建议替代方案：展示更好的方法
5. 使用示例：代码示例能澄清反馈
6. 选择重点：关注重要问题
7. 肯定优秀工作：积极的反馈很重要
8. 先审查自己的代码：发现明显问题
9. 使用自动化工具：让工具捕捉风格问题
10. 保持一致：对所有代码应用相同标准

推荐工具

代码检查工具：

• Python：pylint、flake8、black
• JavaScript：eslint、prettier
• Go：golint、gofmt
• Rust：clippy、rustfmt

安全工具：

• Bandit（Python）
• npm audit（Node.js）
• OWASP Dependency-Check

代码质量工具：

• SonarQube
• CodeClimate
• Codacy

参考资料

• Google 代码审查指南
• OWASP Top 10
• 《代码整洁之道》作者：Robert C. Martin

示例

示例 1：基本用法

示例 2：高级用法

每周安装数

1

代码仓库

akillness/oh-my-gods

首次出现

1 天前

安全审计

Gen Agent Trust HubPassSocketPassSnykPass

安装于

mcpjam1

claude-code1

replit1

junie1

windsurf1

zencoder1

• Variables: descriptive, meaningful names
• Functions: verb-based, clear purpose
• Classes: noun-based, single responsibility
• Constants: UPPER_CASE for true constants
• Avoid abbreviations unless widely known

Functions :

• Single responsibility
• Reasonable length (< 50 lines ideally)
• Clear inputs and outputs
• Minimal side effects
• Proper error handling

Classes and objects :

• Single responsibility principle
• Open/closed principle
• Liskov substitution principle
• Interface segregation
• Dependency inversion

Error handling :

• All errors caught and handled
• Meaningful error messages
• Proper logging
• No silent failures
• User-friendly errors for UI

Code quality :

• No code duplication (DRY)
• No dead code
• No commented-out code
• No magic numbers
• Consistent formatting

Step 4: Security review

Input validation :

• All user inputs validated
• Type checking
• Range checking
• Format validation

Authentication & Authorization:

• Proper authentication checks
• Authorization for sensitive operations
• Session management
• Password handling (hashing, salting)

Data protection :

• No hardcoded secrets
• Sensitive data encrypted
• SQL injection prevention
• XSS prevention
• CSRF protection

Dependencies :

• No vulnerable packages
• Dependencies up-to-date
• Minimal dependency usage

Step 5: Performance review

Algorithms :

• Appropriate algorithm choice
• Reasonable time complexity
• Reasonable space complexity
• No unnecessary loops

Database :

• Efficient queries
• Proper indexing
• N+1 query prevention
• Connection pooling

Caching :

• Appropriate caching strategy
• Cache invalidation handled
• Memory usage reasonable

Resource management :

• Files properly closed
• Connections released
• Memory leaks prevented

Step 6: Testing review

Test coverage :

• Unit tests for new code
• Integration tests if needed
• Edge cases covered
• Error cases tested

Test quality :

• Tests are readable
• Tests are maintainable
• Tests are deterministic
• No test interdependencies
• Proper test data setup/teardown

Test naming :

# Good
def test_user_creation_with_valid_data_succeeds():
    pass

# Bad
def test1():
    pass

Step 7: Documentation review

Code comments :

• Complex logic explained
• No obvious comments
• TODOs have tickets
• Comments are accurate

Function documentation :

def calculate_total(items: List[Item], tax_rate: float) -> Decimal:
    """
    Calculate the total price including tax.

    Args:
        items: List of items to calculate total for
        tax_rate: Tax rate as decimal (e.g., 0.1 for 10%)

    Returns:
        Total price including tax

    Raises:
        ValueError: If tax_rate is negative
    """
    pass

README/docs :

• README updated if needed
• API docs updated
• Migration guide if breaking changes

Step 8: Provide feedback

Be constructive :

✅ Good:
"Consider extracting this logic into a separate function for better
testability and reusability:

def validate_email(email: str) -> bool:
    return '@' in email and '.' in email.split('@')[1]

This would make it easier to test and reuse across the codebase."

❌ Bad:
"This is wrong. Rewrite it."

Be specific :

✅ Good:
"On line 45, this query could cause N+1 problem. Consider using
.select_related('author') to fetch related objects in a single query."

❌ Bad:
"Performance issues here."

Prioritize issues :

• 🔴 Critical: Security, data loss, major bugs
• 🟡 Important: Performance, maintainability
• 🟢 Nice-to-have: Style, minor improvements

Acknowledge good work :

"Nice use of the strategy pattern here! This makes it easy to add
new payment methods in the future."

Review checklist

Functionality

• Code does what it's supposed to do
• Edge cases handled
• Error cases handled
• No obvious bugs

Code Quality

• Clear, descriptive naming
• Functions are small and focused
• No code duplication
• Consistent with codebase style
• No code smells

Security

• Input validation
• No hardcoded secrets
• Authentication/authorization
• No SQL injection vulnerabilities
• No XSS vulnerabilities

Performance

• No obvious bottlenecks
• Efficient algorithms
• Proper database queries
• Resource management

Testing

• Tests included
• Good test coverage
• Tests are maintainable
• Edge cases tested

Documentation

• Code is self-documenting
• Comments where needed
• Docs updated
• Breaking changes documented

Common issues

Anti-patterns

God class :

# Bad: One class doing everything
class UserManager:
    def create_user(self): pass
    def send_email(self): pass
    def process_payment(self): pass
    def generate_report(self): pass

Magic numbers :

# Bad
if user.age > 18:
    pass

# Good
MINIMUM_AGE = 18
if user.age > MINIMUM_AGE:
    pass

Deep nesting :

# Bad
if condition1:
    if condition2:
        if condition3:
            if condition4:
                # deeply nested code

# Good (early returns)
if not condition1:
    return
if not condition2:
    return
if not condition3:
    return
if not condition4:
    return
# flat code

Security vulnerabilities

SQL Injection :

# Bad
query = f"SELECT * FROM users WHERE id = {user_id}"

# Good
query = "SELECT * FROM users WHERE id = %s"
cursor.execute(query, (user_id,))

XSS :

// Bad
element.innerHTML = userInput;

// Good
element.textContent = userInput;

Hardcoded secrets :

# Bad
API_KEY = "sk-1234567890abcdef"

# Good
API_KEY = os.environ.get("API_KEY")

Best practices

1. Review promptly : Don't make authors wait
2. Be respectful : Focus on code, not the person
3. Explain why : Don't just say what's wrong
4. Suggest alternatives : Show better approaches
5. Use examples : Code examples clarify feedback
6. Pick your battles : Focus on important issues
7. Acknowledge good work : Positive feedback matters
8. Review your own code first : Catch obvious issues
9. Use automated tools : Let tools catch style issues
10. Be consistent : Apply same standards to all code

Tools to use

Linters :

• Python: pylint, flake8, black
• JavaScript: eslint, prettier
• Go: golint, gofmt
• Rust: clippy, rustfmt

Security :

• Bandit (Python)
• npm audit (Node.js)
• OWASP Dependency-Check

Code quality :

• SonarQube
• CodeClimate
• Codacy

References

• Google Code Review Guidelines
• OWASP Top 10
• Clean Code by Robert C. Martin

Examples

Example 1: Basic usage

Example 2: Advanced usage

Weekly Installs

1

Repository

akillness/oh-my-gods

First Seen

1 day ago

Security Audits

Gen Agent Trust HubPassSocketPassSnykPass

Installed on

mcpjam1

claude-code1

replit1

junie1

windsurf1

zencoder1