8. 代码审查

本文你将学会： 用 Codex 进行 AI 辅助代码审查，覆盖提交审查、安全检查和风格规范检查。

为什么用 Codex 做代码审查？

传统代码审查依赖人工，容易遗漏重复性问题。Codex 的优势：

• 24 小时随时审查，不需要等同事
• 不遗漏低级错误（空指针、未处理异常等）
• 能结合项目上下文给出具体建议
• 审查结果可直接执行修复

---

审查最近一次提交

cd your-project
codex --approval-mode read-only

在 Codex 中输入：

帮我审查最近一次 git commit 的代码改动：
- 检查有无 bug 或逻辑错误
- 检查有无安全漏洞
- 检查代码风格是否符合项目规范
- 给出改进建议

Codex 会自动运行 git diff HEAD~1 读取改动内容，然后给出详细报告。

---

审查 PR 的改动

帮我审查 git diff main..HEAD 的所有改动，
这是一个准备合并到 main 的 PR，
重点检查以下几点：
1. 新增的 API 接口是否有缺少输入验证
2. 数据库查询是否存在 SQL 注入风险
3. 有没有敏感信息（密码、Key）硬编码在代码里

---

专项安全检查

对整个 src 目录做安全审查：
- XSS 漏洞
- SQL 注入
- 不安全的反序列化
- 身份验证绕过
- 敏感信息泄露

对每个发现的问题给出：位置、严重程度、修复建议

---

审查后直接修复

如果你同意 Codex 的审查建议，可以直接让它修复：

按照刚才的审查建议，帮我修复所有"高"严重程度的问题

或者选择性修复：

修复刚才提到的 SQL 注入问题（src/routes/user.js 第 45 行），
其他问题先不动

---

建立项目级审查规则

在项目根目录创建 AGENTS.md 文件，定义审查标准：

<!-- AGENTS.md -->
## 代码审查标准

进行代码审查时请检查：
1. 所有用户输入必须经过验证（使用 zod schema）
2. API 错误必须返回统一的 { code, message } 格式
3. 数据库操作必须使用 Prisma ORM，不允许原始 SQL
4. console.log 不允许出现在 src/ 目录（仅允许在测试中）
5. 异步函数必须有 try/catch 或 .catch() 处理

之后每次审查 Codex 都会遵循这些规则。

---

与 CI/CD 集成

可以在 GitHub Action 中自动运行 Codex 审查，详见 GitHub Action 集成。