代码审查清单

核心命题：CR 不是找茬——是团队知识共享和品质守护的最后一道防线。

---

01. 审查的四种类型

类型	耗时	适用场景
快速浏览	5-15min	小改动、格式修正
常规审查	15-45min	标准 PR
深度审查	1-2h	核心逻辑、安全敏感
结对审查	实时	高风险变更

---

02. 安全清单

• [ ] 用户输入是否经过校验和转义？
• [ ] SQL 是否使用参数化查询？
• [ ] 认证/授权是否正确？有无越权路径？
• [ ] 敏感数据是否落盘加密？
• [ ] 第三方库是否有已知漏洞？

---

03. 性能清单

• [ ] 循环内是否有不必要的对象创建？
• [ ] 数据库查询是否有 N+1 问题？
• [ ] 大文件/大图片是否有异步加载？
• [ ] 是否存在不必要的同步阻塞？
• [ ] 缓存的失效策略是否合理？

---

04. 可读性清单

• [ ] 命名是否准确表达意图？
• [ ] 函数长度是否合理（<30行）？
• [ ] 复杂逻辑是否有注释解释Why？
• [ ] 是否有被注释掉的旧代码？
• [ ] 魔法数字是否替换为常量？

---

05. CR 反模式

• "LGTM 👍" 看都不看就 Approve
• 揪着格式不放忽略逻辑问题
• 一次CR改动量过大（>400行）

---

06. 一句话总结

好的CR：安全>逻辑>性能>可读性>格式。按这个优先级走，不纠结。