Hallo!

Weiterhelfen groß kann ich nicht, aber Du scheinst ein wichtiges Gebiet bei der Fehlersuche vergessen zu haben: Mutwilligkeit und Sabotage. Also nicht nur die Funktionen mit realitätnahen Daten testen, sondern ebenso mit höchst unsinnigen. Etwa Datenfelder "überfüllen" oder mit Hexdaten und mit Steuersequenzen, oder 80x hintereinander vor und zurück klicken (gibts ein Überlauf in irgeneinem pointer etc?); was passiert, wenn man der Aufruf von Funktionen/Modulen von außen kommt, wenn Parameter per Hand verbogen werden; sind Zugriffe auf die DB von außen geschützt? auch mit alten Hexeditoren a la Norton? usw usf!

Vergessen habe ich das nicht. Das Web-Projekt ist nur über den Webserver erreichnbar, DB-Server ist nur intern erreichbar. Ich prüfe also immer wenn ich Parameter erwarte, ob diese den "Erwartungen" entsprechen. Nur das passiert so oft - wie soll ich die alle Testen? Und was soll ich dann testen? Was kann passieren?

Entweder erwarte ich einen von x verschiedenen Werten die genau definiert sind, das kann ich prüfen. Oder ich erwarte z.B. eine Zahl oder einen String mit max. x Stellen, oder einen Array mit entsprechenden Elementen.

Vor- und Zurück, auch ein interessanter Punkt, normalerweise schicke ich Formulare immer an "sich selbst", und überegebe am Ende die "alten" Parameter als GET-Parameter, so dass man normal hin- und zurück klicken kann. Nur ist das ja auch Broweser-spezifisch, die Reagieren ja nicht unbedingt alle gleich... ein interesanter Punkt den ich mir nochmal genauer ansehen werde.

Mit einem Hexeditor kann man wohl nicht wirklich viel ausrichten, da die Kommunikation eh nur über HTTP läuft und die Clients nur HTML-Ausgaben zu sehen bekommen.

Noch eine Sache - was macht man bei auftretenden Fehlern mit dem User? Gut, wenn es Eingabe-Fehler sind muss er halt korrigieren. Bei DB-Fehlern sieht es schon anders aus, vielleicht sollte man hier noch nach INSERTS/UPDATES und SELECTS unterscheiden?

Viele Grüße
Andreas

Hallo!

Allgemein lässt sich wenig formulieren. Ich schreibe zu jedem Modul(ich verwende fast nur Perl) sofort einen Test in einem Testverzeichnis (t/), den ich per :vsplit immer rechts neben dem eigentlichen Code habe und über F9 schlagartig durchlaufen kann. Dadurch kann ich auch tesgetriebene Entwicklung (http://www.wikiservice.at/dse/wiki.cgi?TestgetriebeneEntwicklung) betreiben.

das hört sich ja mal nett an, aber wie soll das funktionieren? Ich kann mir nicht wirklich vorstellen wie ich ein Modul testen kann. Meinst Du Du schreibst ein Testscript welches das originale Script nachbildet und das Modul einbindet und die Schnittstellen mit allen möglichen Daten füttert und bei Fehlerhafter Rückgabe irgendwas ausgibt? Das wäre ja eine tierische Arbeit!

D.h. von vorn herein sollte alles, was du schreibst, modularisiert sein, in Bibliotheken und Klassen.

Was genau wird eigentlich als Bibliothek bezeichnet - wenn ich mal fragen darf? Ich verwende das immer für Code denn ich wiederverwenden kann, z.B. Klassen wie DB-Abstraktion, Authentifizierung... das ist dann immer eine Klasse in einer Datei die ich dann bei bedarf einbinde - ist das ein Bibliothek?

Ok, eine Klasse lässt sich gut testen. Sagen wir mal ich habe verschiedene Schnittstellen, z.B. für eine Klasse "user". Darin speichere ich alle mögichen Inforamtionen über den aktuellen Benutzer, und stelle Schnittstellen bereit den Benutzernamen zu ändern, Passwort zu ändern, ein bestimmtes Recht zu überprüfen...

Mal ein Beispiel für eine Methode,

function set_username($new) {
    if($db->query('UPDATE...SET username = $new')) {
        return TRUE;
    }
    else {
        return FALSE;
    }
}

Den Benutzernamen kann ich dann mit

$user->set_username('willy');

ändern. Und wie teste ich das jetzt? Was teste ich alles? kann mir das nicht vorstellen. Soll ich testen was ich dem Methode alles für Parameter übergeben kann (Länge 0-100, Array...) nur um zu sehen was passiert...? Das wäre ja irgendwie Quatsch. Eigentlich müsste ich nur
prüfe was vom user kommen könnte, aber das wiederum fange ich ja vorher ab, also was soll ich hier noch groß prüfen? Stehe da irgendwie auf dem Schlauch.

Solche lassen sich dann auch einzeln auf Herz und Nieren testen. Afaik gibt es die Möglichkeit PHP auch auf der Kommandozeile zu interpretieren, also kannst du es im Grunde auch gleich dort beim Entwickeln testen.

sicher, das geht. Aber wie soll ich mir das vorstellen? Ich habe also obige Klasse - was bringt es mir jetzt dieses Script in der Kommandozeile auszuführen? Was soll das Script in der Kommandozeile alles machen?

Ansonsten schreib' halt ein einfaches Testprogramm, das auf dem Webserver die jeweilige Komponente prüft. Ob es so tolle Testframeworks wie Test::More für Perl auch für PHP gibt, weiß ich nicht.

Wäre mir nicht bekannt. Ich habe irgendwi eien Problem mir vorzustellen was man an so einer Komponente so alles prüfen sollte. ich könnte in PHP glaube ich ermitteln was eine Klasse für Methoden und Eigenschaften hat(http://de3.php.net/manual/de/ref.objaggregation.php - wobei, geht erst ab PHP5). Problem ist auch, dass viele Klassen nicht fr sich alleien laufen können, die User-Klasse bekommt z.B. den REMOTE_USER namen übergeben, und macht dann als erstes mal einige DB-Abfragen(mit dem DB-Abstraktions-Modul) um mehr über den aktuellen User zu erfahren und schreibt das in die entsporechenden Eigenschaften. Wäre das also ein unsauberes Design? Aber irgendwo _muss_ ich ja an die User-Daten aus der DB kommen. Aber im prinzip könnte ich das Scipt ja in seiner originalen Umgebung testen, und nur den REMOTE_USER übergeben, dann sollte es ja laufen, nur bleibt die Frage - was genau soll ich dann automatisiert testen?

Deswegen lohnt es sich spätestens beim Testen, _korrekt_ modularisiert zu haben, denn wenn alles unübersichtlich ineinander verzahnt ist, lassen sich keine wirkichen Test schreiben, sondern nur Stichproben.

Ja, ich gebe zu dass ich das nicht 100%ig durchgezogen habe, aber ich finde, dasss wenn ich eine Funktionalität nur an einer Stelle brauche, lohnt es sich nicht wirklich die in eine Modul/Klasse zu packen - Trade-Off Performance vs. Modularität. Heißt dass dann aber auch - schlechter zu testenden Code?

Ich hoffe also, deine 200 PHP-Dateien lassen sich alle isoliert testen, d.h. du schreibst 200 Tests, die jeweils nur die korrekte Funktionalität einer Datei prüfen.

Wenn ich recht überlege sind es keine 200 PHP-Dateien, das waren alle Dateien, mit Templates, JS und CSS, aber es sind sicher über 100.

Wenn die Dateien so beschaffen sind, dass sie einen komplizierten Kontext brauchen, hast du ein Problem, dann musst du diesen Kontext nämlich im test simulieren.

Kann ich nicht den Kontext der original-Umgebung verwenden, oder würde das das Testergebnis evtl. verfälschen?

Zum konkreten Testen in PHP weiß ich nichts. In Perl gibt es eine Konvention über die Ausgabe von Testprogrammen. Das sieht etwa so aus (schreibe ich gerade aktuell):

1..43
ok 1 - use Pie::Object;
ok 2 - Pie::Parent->create
ok 3 - The object isa Pie::Parent
ok 4 - The object isa Pie::Object
ok 5 - Pie::Object->new(parent)
ok 6 - The object isa Pie::Object
[...]
ok 38 - o1->push_stack
ok 39 - o2->push_stack
ok 40 - o1->run_stack walks up
ok 41 - ... in correct order (0 1 2 3 4 5)vs(0-5)
ok 42 - o2->run_stack walks up twice
ok 43 - ... in correct order (0 1 2 3 4 5 6 7 8 9 10 11 12)vs(0-12)

Diese Ausgabe wird dann wiederum von Programmen ausgewertet, die nur noch die Testinformationen von gescheiterten Tests ausgeben. So kann exakt festgestellt werden, ob und welche Test scheitern.

Das wäre wirklich gut...

Das Testpogramm selbst sieht so aus:

#!/usr/bin/perl
use strict;
use warnings;

use Test::More qw/tests 43/;
use Test::Exception;

our $CLASS;

BEGIN {
        $CLASS = 'Pie::Object';
        use_ok($CLASS)
                or die "use $CLASS failed";
}

ok(
        my $parent = Pie::Parent->create(),
        'Pie::Parent->create' );
isa_ok( $parent , 'Pie::Parent' );
isa_ok( $parent , 'Pie::Object' );

[...]

Das waren die ersten 4 von 43.

Es dürfte kaum sehr kompliziert sein, solche Programme auch in PHP zu schreiben.

Sicher nicht, nur verstehe ich das Programm nicht wirklich. Vermutlich daher weil ich das Test-Modul nicht kenne, aber was genau macht das?

BEGIN {

was ist das?

Wo bindest Du denn eine andere Datei an die Du in Pie::Object benutzt?

Also ich vermute, als erstes muss ich die zu testende Date einbinden, dann die Klasse initialisieren, und dann für jede Methode verschiedene Tests überlegen, nur welche?

isa_ok( $parent , 'Pie::Parent' );

Was genau wird denn jetzt getestet? Ich kann mir das irgendwie nicht vorstellen. Prüfst Du nicht einzelnd alle Methoden?

Was ist

ok(

?

Es kommt jetzt also darauf an, wie sauber dein Design ist.

Tja....

Vielen Dank für Deine Anregungen, auch wenn ich da noch nicht wirkich durchblicke ;-)

Viele Grüße
Andreas

Hallo,

Test C: der Sicherheitstest
Hier wird die Anwendung auf Sicherheitslücken abgeklopft. Was da genau läuft weiß ich auch nicht, wir kriegen nur die Resultate der Tests und können die einzelnen Testszenarien nicht einsehen.

Dass die Entwickler nur die Ergebnisse einer solchen 'Ueberpruefung' bekommen, macht ja mitunter auch Sinn -
von wegen, dass der Ultra-Cracker ein nur ihm bekanntes Loch gefunden hat...

Aber meistens erinnern mich solche Szenarien eher an Clifford Stolls 'Kuckucksei' - alle tun geheimnisvoll, aber keiner redet.

Ich hatte selbst schon 'die Ehre', solche Tests durch zu fuehren - interessant, welcher Wirbel z.B. um die Tatsache gemacht wurde, dass ein eigentlich zum Erreichen von kostenpflichtigen Porno-Sites geschriebener Referrer halt auch andere Sites 'erreichbar' machte.
(Fuer mich als Person war es natuerlich super: 'Der Mann kennt sich aus !' :-))

ICH faende es grundsaetzlich besser, wenn auch solche 'Test-C'-Ergebnisse regelmaessig zur Verfuegung gestellt wuerden - nachvollziehbar/verifizierbar.
Das wuerde IMHO auch Scharlatanen wie Dr.Kimble endlich einmal das Wasser abgraben.

Wenn ihr kein Testzentrum habt, dann nimm dir irgend jemanden der keine Ahnung von der Anwendung hat und setze den davor. Zumindest in einigen Bereichen wird der Fehler finden, die du nie finden wirst.

...meine bevorzugte Test-Methode: fang Dir irgendwelche Menschen ein, die mit Deinem Produkt klarkommen sollen - das bringt (meistens) grosse Ernuechterung.

gruesse
rainer groth

Hi Antje!

Nur wie stelle ich das an?

bei uns in der Firma gibt es eine Abteilung, die nichts anderes macht, als unsere bzw. auch fremde Anwendungen zu testen.

Ich wünsche mir auch so eine Abteilung... ;-)

Ein Test läuft im Regelfall dreistufig ab.

Test A: der sogenannte Hausfrauentest,

Das aus Deinem Mund? Aha ;-)

hier sitzen Tester vor der Anwendung, die lediglich das Redaktionshandbuch zur Verfügung haben. Die finden im Regelfall alle Fehler und Probleme, die dir als Entwickler undenkbar scheinen. Die Testszenarien werden mit dem Kunden vereinbart und decken alle standardisierten Fälle ab.

Ja, sowas mache ich auch gerne, da wird auch  immer was gefunden, nur  mache ich das nicht wirklich "systematisch", ich sollte in der Tat mal Szenarien entwerfen, die teilweise ganz "normal" sind, andere möglichst komplex, und das alles möglichst na an dem wie es später im Live-Betrieb verwendet wird.

Test B: der Lasttest

Sowas habe ich noch nicht,

hier laufen Scripte, mit denen die Dauerbelastung geprüft wird.

Das heißt - da die Software ja über HTTP erreichbar ist - schreibe ich ein paar Scripte, lege die auf einen anderen Rechner, am besten nichtmal im gleichen LAN, und lasse möglichst viele Requests auf den Server los, am bestebn von mehreren Standortn aus, und das mit möglichst vielen Daten...

Entwickelt werden die Scripte anhand des Redaktionshandbuches, der Feinspezifikation und anhand der zu erwartenden Belastungen. Die finden auch heraus, welche Seiten besonders langsam sind und wir dürfen dann das Rätsel lösen warum.

Ja, da habe ich auch schon einige gefunden, wo ich mir zum verrecken nicht erklären kann warum die so viel langsamer sind als vergleichbare Scripte...

Test C: der Sicherheitstest
Hier wird die Anwendung auf Sicherheitslücken abgeklopft. Was da genau läuft weiß ich auch nicht, wir kriegen nur die Resultate der Tests und können die einzelnen Testszenarien nicht einsehen.

Nur lässt sich da was automatisieren? Wird wohl nichts anderes übrig bleiben,
1. den kompletten Code durchzusuchen und alle Stellen markieren an denen Rechte geprüft werden müssen
2. "cracker-mäßig" versuchen zugriff auf andere Daten durch manipulation der Request-Parameter zu erhalten, bei Kenntnis des Codes,

nur werden das wohl Stichproben bleiben, gerade wenn ich das selbst mache habe ich Angst durch "Befangenheit" irgendwelche Möglichkeiten zu vergessen, die ich ja schon bei der Programmierung vergessen hatte. Ich glaube das kann nur eine andere Person sinnvoll machen, da hast Du wohl Recht.

Vielen Dank für die Anregungen,

Grüße
Andreas

Hi Ralf!

Hätte die Verwendung eines Applikations-Servers + Java hier »» »» »» irgendwelche Vorteile?
Auf jeden Fall. PHP habe ich jetzt zwar schon laengere Zeit nicht mehr gemacht und fuer Quickhacks finde ich das auch immer noch ziemlich gut, aber im Vergleich schneidet Java bei mir um Laengen besser ab, besonders wenns um etwas groessere Projekte geht. Zwar kann man auch unter Java ziemlich ekligen Code schreiben, aber was es  IMHO deutlich leichter macht sauber zu coden, ist die Tatsache, dass hinter Java ein Objektorientiertes Konzept steht, waehrend PHP eine prozedurale Script Sprache ist, bei der versucht wurde, die Arbeit mit Objekten im nachhinein zu implementieren. Unter PHP 5 wird sich das ja vielleicht aendern, aber die Sachen, die ich unter PHP 4 ueber Klassen geregelt habe, fand ich deutlich unuebersichtlicher als unter Java.

Ja, aber das ist für mich noch klein wirkliches "Todschlag-Argument". Sicherlich wird der Java-Code schöner, trotzdem ist es dann auch kein wirklich großer Schritt nach vorne, oder? Ich finde gerade das Konzept der EJBs faszinierend, habe das zwar noch nicht genauer angesehen, aber wenn ich das nicht falsch verstanden habe bitene EJBs eine riesige Bibliothek an gutem fertigen Code den ich in meine Anwendung integrieren kann, so dass ich nicht für alles mögliche das Rad immer neu erfinden muss, denn das mache ich wohl meist nicht unbedingt besser als die Entwicler von EJBs. Wenn Java dann auch richtig mit allem was dazu gehört.
Für den Augenblick ust es zwar zu spät, das mit PHP mussich jetzt erstmal fertig stellen, aber ich könnte mir vorstellen, wenn eine größere, grundlegendere Überarbeitung ansteht komplett auf einen Applikations-Server umzusteigen, ich dachte zunächst erstmal an JBoss, oder würdest Du davon abraten(wenn Applikationsserver dann nur Websphere oder Bea)?
Ich wüßte nicht was JSP und Sevlets alleine so viel besser können als PHP.

Ein Applikation Server muss es allerdings nicht gerade sein. Den braucht man fuer die Arbeit mit Enterprise Java Beans und das lohnt sich wirklich erst, wenns um sehr grosse Applikationen geht, die auf jeden Fall skalierbar sein muessen bis zum Abwinken und eine umfangreiche Geschaeftlogik implementieren.

Was heißt umfangreich? Es ist auf jeden Fall eine Geschäftslogik die implementiert wird, jetzt nicht vom Kaliber eines ERP-Systems, aber ich wüßte nicht was das schaden könnte auch bei etwas kleineren Systemen auf einen Applikationsserver zu setzen. Im Augenblick bilde ich ja fast einen Mini-Applikationsserver selbst nach, das hat das Problem verschiedene hinzufügbarere und entfernbarere Plugins, Mehrsprachigkeit... mit sich gebracht.

Bei 100 PHP Klassen waere dein Leben aber wahrscheinlich schon deutlich leichter, wenn du dir eine Servlet Engine runterlaedst (Resin oder Tomcat) und mit dem Struts Framework arbeitest, um mal ein paar Stichpunkte zu nennen.

Was bringt mir eine Sevlet-Engine bei PHP-Code?

Und wenn du Objektorientierung als Konzept verstanden hast, was ja der Fall sein wird, wenn du Klassen unter PHP nutzt, ist der Umstieg auf Java wirklich nicht mehr so schwer. Ist, wie gesagt, ein voellig neuer Horizont, der sich da auftut.

Aber den neuen Horizont stellt ja weniger die Sprache an sich, sondern eher die verfügbaren Server- und Entwicklungsumgebungen, oder?

Nur nuetzt dir das ja wahrscheinlich nichts mehr fuer das jetzige Projekt. Deshalb, wie gesagt, wuerde ich mich mal bei den PHP Freaks auf den einschlaegigen Seiten umgucken, obs da nicht auch sowas wie ein Test Framework gibt.

Ja, "Test Framework" war das Stichwort, da habe ich direkt bei PEAR was gefunden: http://pear.php.net/package-info.php?pacid=38, ist auch stable und basiert wohl auf JUnit, werde mir das mal ansehen.

Viele Grüße
Andreas

Hi lulu!

falls Du das nicht sowieso schon machst, würde ich in jedem Fall
in der php.ini das error_reporting auf E_ALL setzen.

Das habe ich zwar noch nicht, aber ich werde in mein Error-Handling Modul das error-Reporting entsprechend setzen, und die Fehler abfangen und loggen.

Viele Grüße
Andreas

Hallo, Philipp,

verzeihe bitte meinen Egoismus, aber ich moechte Deine Mitteilungsbereitschaft nun ausnutzen, um Deine Meinung zur "UML-Geschichte" abrufen. Diese verspricht ja Code anhand eines Modells zu erstellen, so dass, wenn der Code-Generator keine Fehler macht, auch keine Programmfehler "bereitgestellt" werden, sondern bestenfalls "Features".

Die Codegeneratoren sind kostenpflichtig, die "UML-Geschichte" ein kostenfreier Standard, richtig?

Gruss,
Lude