review.md

来自 cli/templates/level-1/

---
name: review
description: >
  代码审查。完成功能实现后、提交前使用。
  从正确性、安全性、性能三个维度审查最近变更。
---

# 代码审查

## 步骤

1. 运行 `git diff HEAD` 或 `git diff main..HEAD` 查看所有变更
2. 按以下清单逐项检查

## 审查维度

### 正确性（Must Check）
- 逻辑是否正确，边界条件是否处理
- 空值/undefined 是否防御
- 异步操作的错误处理是否完整
- 类型是否严格，有无隐式 any

### 安全性（Must Check）
- 用户输入是否做了校验（zod schema）
- 是否有 SQL 注入、XSS 风险
- 敏感信息是否暴露在响应或日志中
- 文件上传是否校验了类型和大小

### 性能（Should Check）
- 是否有不必要的重复渲染（缺少 memo/useMemo）
- 数据库查询是否有 N+1 问题
- 大列表是否做了分页

### 规范（Should Check）
- 是否符合 CLAUDE.md 中的编码规范
- 命名是否清晰、一致

### 规格对照（当有设计文档时）
如果存在 prd.md 或 API 契约：
- 逐条检查验收标准是否都已实现
- 对照 API 契约，检查接口定义（路径、方法、请求/响应 schema）是否匹配
- 标记：Pass / Fail / Partial

## 输出格式

按严重程度分类：
- **必须修复**：安全漏洞、逻辑错误、数据丢失风险
- **建议改进**：代码异味、缺失错误处理、性能问题
- **小建议**：命名优化、风格统一

每条包含：文件名:行号、问题描述、修复建议。

IMPORTANT：客观报告，不美化。没有问题就说"审查通过"，有问题就直说。