
整理适合开发者复用的 AI 代码审查模板,覆盖安全风险、性能问题、可读性、边界条件、测试点和上线前检查。
适合谁使用
- 需要用 AI 做代码审查、需求拆解和开发计划的人。
- 想把 Review、测试、接口和上线检查沉淀成模板的人。
- 需要可复制提示词和表格来提高开发协作效率的人。
安全风险
- 先让 AI 检查输入校验、鉴权、越权、敏感信息泄露和危险依赖。
- 不要把生产密钥、客户数据和私有仓库完整代码贴到不可信 AI 工具。
- 对安全建议要人工复核,不能只看 AI 的结论就合并代码。
性能问题
- 让 AI 标注重复查询、循环内 I/O、无缓存计算和可能的 N+1 问题。
- 性能优化要先确认瓶颈,不要为了看起来高级而过度改写。
- 对数据库、网络请求和大文件处理要额外要求 AI 给出风险说明。
可读性
- 让 AI 检查命名、函数长度、重复逻辑、异常处理和边界条件是否清楚。
- 代码审查不是追求风格统一到极致,重点是降低后续维护成本。
- 如果 AI 建议大重构,要让它拆成最小可验证改动。
测试点
- 让 AI 根据改动列出正常路径、异常路径、边界值和回归测试点。
- 缺测试时先补最能证明风险的测试,不要一口气铺满无关场景。
- 上线前输出检查清单:配置、权限、日志、告警和回滚路径。
资源包内容
- README 使用说明
- 可复制提示词
- 开发检查清单
- 开发执行流程
- CSV 模板表
实战示例:登录接口代码审查
下面用一个常见登录接口做示例。假设代码改动包含短信验证码登录、用户信息查询和登录态写入,审查时不要只问 AI “这段代码有没有问题”,而是让它按风险清单逐项检查。
| 审查项 | 要问 AI 的问题 | 人工确认点 | 建议输出 |
|---|---|---|---|
| 鉴权 | 是否存在未登录访问、越权读取、登录态复用风险? | 接口是否校验当前用户和资源归属 | 风险等级、触发条件、修复建议 |
| 输入校验 | 手机号、验证码、来源参数是否有格式和频率限制? | 服务端是否限制重试次数 | 缺失校验项和测试用例 |
| 敏感信息 | 日志里是否打印 token、手机号、验证码或完整请求体? | 日志采集平台是否会长期保存 | 需要脱敏的字段清单 |
| 异常路径 | 验证码错误、用户不存在、缓存失效时是否有一致处理? | 错误提示是否暴露用户是否存在 | 异常路径测试点 |
可复制审查提示词
请以资深后端代码审查者的角度检查下面的登录接口改动。不要泛泛总结,请按“安全风险、性能风险、可维护性、边界条件、测试缺口、上线风险”六类输出。每个问题都要包含:风险等级、触发条件、为什么是问题、最小修复建议、需要人工确认的信息。请特别检查鉴权、越权、敏感信息日志、验证码重试、缓存失效和错误提示。
判断一份 AI 审查结果是否可用
- 能指出具体风险位置,而不是只说“注意安全”。
- 能区分必须修复、建议优化和可以暂缓。
- 能给出测试点,尤其是异常路径和边界值。
- 不会要求大范围重构,除非当前代码确实无法安全维护。
继续完善开发流程
- 代码审查前如果需求还没拆清,可以先看 AI 需求拆解和开发计划模板。
- 更多编程类资源可以查看 AI 编程提示词合集。
- 需要下载开发模板包,可以进入 资源下载页。
原文链接:https://zyw.xhysafe.com/485.html,转载请注明出处。


评论0