Code review чек-лист для модулей Битрикс24

Кастомный модуль, принятый без ревью — кандидат стать техническим долгом. Делимся чек-листом, по которому проверяем код у себя.

Безопасность

• SQL-инъекции: только prepared statements
• XSS: все вывод через htmlspecialchars
• CSRF: на всех POST-эндпоинтах
• Права: проверка через $USER->GetUserGroupArray
• Секреты не в коде: только через getenv() или .settings.php

Производительность

• N+1 в ORM: используйте `->with()`
• Индексы на полях, по которым фильтруем
• Кеш для частых запросов через BX\Cache
• Фоновые задачи через агенты, не в запросе пользователя

Совместимость

• Используем только публичное API, не lbimsp
• События через штатные хуки, не подмена ядра
• PHP-версия: без использования экспериментальных фич

Качество

• PSR-12 стиль
• Тесты покрывают основные сценарии
• Логирование через Monolog или встроенные средства
• Комментарии к нетривиальной логике