19|让 AI 像代码审查一样挑错:Checklist 驱动的提问
本篇目标:不仅让 AI 写代码,还要让它做你的“毒舌导师”。学会这招,你的代码质量将超越 80% 的初级工程师。
一、为什么需要 AI 做 Review?
很多初学者写代码是“能跑就行”。
- 变量名叫
a,b,c。 - 函数长达 200 行。
- 没有任何异常处理,一报错就崩。
- 密码直接写在代码里。
在公司里,这些代码会被 Senior 工程师骂死。但如果你是一个人开发,谁来骂你?
AI 可以。而且它比真人更全面、更耐心,只要你给它一份Checklist(检查清单)。
二、不要只问“这段代码怎么样?”
如果你问:“帮我看看这段代码。”
AI 通常会说:“写得真棒!逻辑清晰!稍微改改这里就好了……”(全是客套话)。
必须强制它“找茬”。你要告诉它:“请假设你是一个最挑剔的代码审查员(Code Reviewer),你的任务是找出所有潜在的问题。”
三、构建你的 Review Checklist
一个合格的代码审查,应该覆盖以下维度:
1. 安全性(Security)
- 有没有 SQL 注入?
- 有没有硬编码密钥?
- 有没有暴露敏感数据?
2. 性能(Performance)
- 有没有 O(N^2) 的循环?
- 有没有重复查询数据库(N+1 问题)?
- 有没有内存泄漏风险?
3. 可读性与规范(Readability)
- 变量名是否清晰?
- 是否符合 PEP8 (Python) / Airbnb (JS) 规范?
- 有没有写注释?
4. 健壮性(Robustness)
- 输入为空怎么办?
- 网络断了怎么办?
- 文件不存在怎么办?
四、实战:Review 提示词模板
请直接复制这段 Prompt,保存为Reviewer.md:
# Role You are a Senior Software Architect known for strict code reviews. # Task Review the provided code against the following Checklist. # Checklist 1. **Security**: Check for SQL injection, XSS, and hardcoded secrets. 2. **Performance**: Identify O(N^2) loops, redundant computations, or N+1 queries. 3. **Error Handling**: Are exceptions caught specifically? Is there a fallback logic? 4. **Readability**: Are variable names descriptive? Are functions small and focused? 5. **Type Safety**: Are type hints used correctly? # Output Format Please output the review in the following Markdown format: ## 🚨 Critical Issues (Must Fix) - [Line 12]: Explanation of the bug/security risk. ## ⚠️ Suggestions (Should Fix) - [Line 45]: Suggestion to improve readability or performance. ## ✅ Good Practices - Mention 1-2 things done well (to keep morale up). # Code [贴入你的代码]五、演示:AI 如何把“烂代码”批得体无完肤
你的代码:
defget_user(id):importmysql.connector conn=mysql.connector.connect(user='root',password='123',database='test')cursor=conn.cursor()cursor.execute("SELECT * FROM users WHERE id = "+id)# 👈 SQL注入 + 没关连接returncursor.fetchone()AI Review 结果:
🚨 Critical Issues (Must Fix)
- [Line 3] Hardcoded Secrets: 密码
'123'直接写在代码里了。请使用环境变量。 - [Line 5] SQL Injection: 使用字符串拼接 SQL 是极度危险的。请使用参数化查询
execute("SELECT * FROM users WHERE id = %s", (id,))。 - [Line 6] Resource Leak: 数据库连接
conn没有关闭。如果函数报错,连接会一直挂着。请使用with语句或finally块。
⚠️ Suggestions (Should Fix)
- [Line 1] Import inside function: 建议把
import移到文件顶部。 - [Line 1] Variable Name:
id是 Python 内置函数名,建议改名为user_id。 - [Line 1] Missing Type Hints: 请加上
user_id: int和返回类型注解。
六、总结:团队级 Review Checklist
如果你在团队里,可以把这个清单打印出来,作为 Code Review 的标准:
| 维度 | 检查项 | 为什么重要 |
|---|---|---|
| 安全 | 密钥、注入、权限 | 防止删库跑路 |
| 性能 | 循环、IO、并发 | 防止服务器卡死 |
| 健壮 | 空值、异常、重试 | 防止半夜被叫起来修 Bug |
| 规范 | 命名、格式、注释 | 防止同事看不懂想打人 |
下一步:我们已经学会了怎么写代码、怎么修 Bug、怎么 Review。但在实际工作中,还有一个巨大的隐患——AI 可能会一本正经地胡说八道(幻觉)。下一章我们将学习如何用“反幻觉策略”来验证 AI 的每一个字。