测试用例优先级与三轮测试的结合

测试用例优先级与三轮测试的结合
发布时间: 2009-7-10 15:01    作者: meizhu    来源: Taobao QA Team

字体:  小  中  大  | 上一篇 下一篇 | 打印  | 我要投稿  | 每周一问，答贴有奖

　　测试用例优先级、三轮测试，已经在我们测试团队推广开。那么我们要如何运用起测试用例优先级，

可否与三轮测试相结合？简单谈下我的实践。

　　冒烟测试用例、流程性测试用例、校验性测试用例。在编写测试用例时，我们会对每条测试用例设置

优先级。完成测试用例后，搭建实验室，创建测试用例集合。测试用例实验室，首先创建3个一级文件夹

，即按照3轮测试。我们每一轮的测试，目标是不同的，而每一轮都需要执行测试用例，我们如何将执行

测试用例与三轮测试结合起来呢？

　　首先我们通过优先级筛选，摘出所有P1级的测试用例，即冒烟用例。冒烟测试用例的通过率，是我们

启动3轮测试的前提。

　　然后搭建第一个文件夹：第一轮测试。大家知道，在测试前期，我们最先关注的、开发最希望先处理

的，肯定是流程上的bug，那么我们就可以先来执行流程性的测试用例。那么我们创建第一轮测试这个文

件夹后，下一级文件就可以分为流程性测试用例集和校验性测试用例集。通过P1级测试用例+P2级测试用

例的筛选，我们可以筛选出全部的流程性测试用例，再按照原测试目录结构，在流程性测试用例中，搭建

同样的目录结构，把P1+P2的测试用例导入到相应位置。此时，第一轮测试用例的流程性测试用例集便搭

建好了。在第一轮测试中，P1级是否需要独立出来呢？不需要的，因为第一轮启动的前提就是P1级测试用

例通过。 P1+P2一起执行，是为了把流程更连贯的串起来。

　　下一步，就是搭建第一轮测试用例验证性测试用例集，方法与流程性测试用例集类似，筛选出P3集测

试用例，导入到验证性测试用例集相应目录中即可。

　　总结下第一轮测试用例集的实现目标：最先执行流程性测试用例，最先发现流程上的bug，并且完全

覆盖了所有功能点。

　　下一步就是第二轮测试用例集，在第二轮测试中，我们的目标是尽多的发现、验证bug，是版本达到

基本稳定。由于我们在第一轮测试中，已经覆盖了流程和校验的bug，我们再次执行测试用例，就是来确

认下是否引起了其他相关bug。此时，我们可以先跑下主流程确认版本可测试，然后按照功能模块测试便

可。创建2 个文件夹：主流程测试用例集、非主流程测试用例集。主流程测试用例集，即为P1级测试用例

；非主流程测试用例集，即为P2+P3级测试用例。P1级测试用例为主流程正确性测试用例，通常不会很多

，可根据情况来定目录结构。非主流乘测试用例集同样保持和测试计划中的目录结构相同。

　　总结下第二轮测试用例集的实现目标：最先执行主流程测试用例，保证版本可测。然后覆盖全部测试

点，按照模块执行测试用例，便于联想到该模块一些非测试用例设计中会考虑到的情况。

　　最后一步就是第三轮测试用例集了。第三轮测试，版本基本已稳定，主要目的是回归。回归测试用例

，我们首先也是保证主要功能通过，即：P1级测试用例。我们第一个文件夹：主流程测试用例集，即为P1

级测试用例。然后是保证流程通过，第二个文件夹：流程性测试用例集，即：P2级测试用例。对于校验性

测试用例，个人感觉受其他影响较小，在第一轮测试、第二轮测试中均已验证，基本出现问题的概率较低

。此外，由于通常项目时间后期时间非常紧，可以考虑第三轮测试中不执行验证性测试用例。

　　总结下第三轮测试用例集的实现目标：在时间紧迫的情况下，尽快全面覆盖流程性测试用例的回归，

保证流程正常。

-------------------------------------------------------------------------------------------

空间管理 您的位置: 51Testing软件测试网 » 李灵的个人空间 » 日志
发布新日志

我的日志 我的足迹 我的收藏
测试生活
黑盒测试技术
bug管理工具
测试文档编写指南与模板
数据库技术
不同分类的测试点
质量管理
软考
安全测试的检查点
2009-02-24 11:05:29

. 不登录系统，直接输入登录后的页面的url是否可以访问
　　2. 不登录系统，直接输入下载文件的url是否可以下载，如输入http://url/download?name=file是

否可以下载文件file

　　3. 退出登录后按后退按钮能否访问之前的页面

　　4. ID/密码验证方式中能否使用简单密码。如密码标准为6位以上，字母和数字混合，不能包含ID，

连续的字母或数字不能超过n位

　　5. 重要信息（如密码，身份证号码，信用卡号等）在输入或查询时是否用明文显示；在浏览器地址

栏里输入命令javascrīpt:alert(doucument.cookie)时是否有重要信息；在html源码中能否看到重要信息

　　6. 手动更改URL中的参数值能否访问没有权限访问的页面。如普通用户对应的url中的参数为l=e，高

级用户对应的url中的参数为l=s，以普通用户的身份登录系统后将url中的参数e改为s来访问本没有权限

访问的页面

　　7. url里不可修改的参数是否可以被修改

　　8. 上传与服务器端语言（jsp、asp、php）一样扩展名的文件或exe等可执行文件后，确认在服务器

端是否可直接运行

　　9. 注册用户时是否可以以'--,' or 1=1 --等做为用户名

　　10. 传送给服务器的参数（如查询关键字、url中的参数等）中包含特殊字符（','and 1=1 --,' and

1=0 --,'or 1=0 --）时是否可以正常处理

　　11. 执行新增操作时，在所有的输入框中输入脚本标签（<scrīpt>alert("")</scrīpt>）后能否保存

　　12. 在url中输入下面的地址是否可以下载：http://url/download.jsp?file=C:/windows/system32

/drivers/etc/hosts,http://url/download.jsp?file=/etc/passwd

　　13. 是否对session的有效期进行处理

　　14. 错误信息中是否含有sql语句、sql错误信息以及web服务器的绝对路径等

　　15. ID/密码验证方式中，同一个账号在不同的机器上不能同时登录

　　16. ID/密码验证方式中，连续数次输入错误密码后该账户是否被锁定

　　17. 新增或修改重要信息（密码、身份证号码、信用卡号等）时是否有自动完成功能（在form标签中

使用autocomplete=off来关闭自动完成功能）

查看(56) 评论(0) 收藏 分享 管理
性能测试的要点
2009-02-24 11:02:05

1、明确用户的性能需求（显示的和隐式的），性能测试点，找出瓶颈
　　1）用户直接需求的和使用过程中（行业经验）可能遇到的性能瓶颈点必须测试和分析到。当然，客

户不需要的，也没有必要去花时间和精力。

　　2）从中获取相应的性能测试参数，峰值和平均值。

　　3）客户的性能容忍度和系统所能承受的容忍度同样重要。

　　4）确认系统运行的最低硬件环境要求（虽然硬件便宜的多了，但客户能不能改造自己的环境还得客

户说了算）

　　5）如果可以的话，将系统的容错性做为性能测试的一部分进行测试

　　2、测试对象和性能负载分布

　　1）基本的3个对对像：C/S、B/S中的客户端和服务器，其中还有网络进行连接或中间件。

　　2）服务端可能分为数据端、业务端和服务容器。

　　3）跟据实际的测试结果合理的进行相应的性能负载分布。

　　3、负载、容量和压力测试逐一进行（如果需要）

　　1）更多的情况下，性能测试中出现的问题是最初的设计时应存在的问题。如果可能，建议对相应的

性能提前做测试和优化。

　　2）够用就好，不是所有的系统都要进行性能测试，一切以客户需求和实际需要为准。

　　4、测试点

　　1）CPU和内存使用（系统自身的原因）。是否可以正常的使用和释放，是否存在内存溢出。

　　2）访问的速度（客户需求或是实际的应用要求说了算）

　　3）网络。网络传输速度，网络传输丢包率。（找些工具，有免费的）

　　4）服务器。指令、服务应答响应时间，服务器对信息处理的时效性，服务器对峰值的处理（建议进

行服务器优化或是进行服务负载均衡，有大量的文档对此进行描述）

　　5）中间件。中间件在信息传递中的处理性能及信息处理的正确性。

　　5、测试和监控数据

　　1）均值下的持续运行（通过分析对整体的性能进行预测和评估）

　　2）短时间的峰值运行（分析系统的处理能力）

　　3）最低配置和最佳配置下的性能对比

　　4）多用户。同时访问，同时提交。

　　5）对 4 中的数据进行记录和监控

　　6、选择测试工具

　　现有的测试工具太多了，不在一一列举。

　　适用就好，推荐开源的工具。

查看(48) 评论(0) 收藏 分享 管理
搜索引擎测试要点
2009-02-24 10:59:49

包括关键字搜索.完全匹配.有效字符.无效字符等
1,空内容点击搜索，看其有没有LINK
2,输入过长查询数据，看其有没判断，报错
3,输入各种符号，特别是空格，看其能否正确判断
4,输入各种字符，譬如输入范围是0~9，A~Z的看输入中文是什么效果
5,输入正确数据，看其的查询后数据的完整性
6,注意在光标停留的地方输入信息时,光标和所输入的信息会否跳到别的地方
7,在输入结束后直接按回车键,看系统处理如何,会否报错
8,反复输入相同的数据（5次以上）看是否报错
9,各国文字/字符的输入/粘贴能正确显示 退格键等操作显示正常 超过支持的最大长度有相应的提示 混

合的多种语言也能正确显示
10,显示&接收；能进行下一步处理
11,其他的 包括能删除  能剪切等（我也不确定要不要包括 有点奇怪 显示语言是字符库支持的问题 而

且如果是面向对象程序设计语言做的文本框 删除什么的功能也不用测

对被测试点进行分解，把测试用例分解为多个测试场景

场景编号 场景描述 预期结果
场景一 页面检查 正确
场景二 默认条件搜索 查询结果正确
场景三 修改可选条件搜索 查询结果正确
场景四 修改输入条件搜索 查询结果正确
场景五 修改区间条件搜索 查询结果正确
场景六 组合可选、输入条件搜索 查询结果正确
场景七 操作后检查搜索条件及查询结果 查询结果正确
场景八 错误、空记录搜索 查询结果为空

测试步骤描述

按照已经分解的测试场景顺序，逐个描述测试场景的测试步骤

测试场景一：

步骤编号 具体描述
1 进入搜索（高级搜索）页面
2 界面共性测试
3 退出

测试场景二：

步骤编号 具体描述
1 进入搜索（高级搜索）页面
2 点击“搜索”按钮，显示查询结果列表
3 检查查询结果列表，每页显示记录条数正确、文字折行显示正确、页面布局美观
4 检查查询结果列表，列标题项、列显示内容、排序方式符合需求定义
5 检查查询结果列表，符合默认查询条件结果集
6 点击查询结果列表链接、复选框、全选框响应正确
7 退出

测试场景三：

步骤编号 具体描述
1 进入搜索（高级搜索）页面
2 逐一选择各个查询条件可选项，如：“全部”、“类别1”等，点击“搜索”，查询结果正确
3 组合各个查询条件可选项，如：价格＋产品，点击“搜索”，查询结果正确
4 退出

测试场景四：

步骤编号 具体描述
1 进入搜索（高级搜索）页面
2 逐一输入文本域条件，模糊查询值，点击“搜索”，查询结果正确
3 逐一输入文本域条件，完全匹配值，点击“搜索”，查询结果正确
4 逐一输入文本域条件，中文值，点击“搜索”，查询结果正确
5 逐一输入文本域条件，字母大、小写值，点击“搜索”，查询结果正确
6 逐一输入文本域条件，数字类型值，点击“搜索”，查询结果正确
7 逐一输入文本域条件，全角、半角值，点击“搜索”，查询结果正确
8 组合各个文本域查询条件，点击“搜索”，查询结果正确
9 退出

查看(36) 评论(0) 收藏 分享 管理
功能测试要点
2009-02-24 10:56:33

1.页面链接检查：每一个链接是否都有对应的页面，并且页面之间切换正确。可以使用一些工具，如

LinkBotPro、File-AIDCS、HTML Link Validater、Xenu等工具。LinkBotPro不支持中文，中文字符显示

为乱码；HTML Link Validater只能测试以Html或者htm结尾的网页链接；Xenu无需安装，支持asp、do、

jsp等结尾的网页，xenu测试链接包括内部链接和外部链接，在使用的时候应该注意，同时能够生成html

格式的测试报告。如果系统用QTP进行自动化测试，也可以使用QTP的页面检查点检查链接。
2.相关性检查：

Ø        功能相关性：删除/增加一项会不会对其他项产生影响，如果产生影响，这些影响是否都正确，

常见的情况是，增加某个数据记录以后，如果该数据记录某个字段内容较长，可能会在查询的时候让数据

列表变形。

Ø        数据相关性：下来列表默认值检查，下来列表值检查，如果某个列表的数据项依赖于其他模块

中的数据，同样需要检查，比如，某个数据如果被禁用了，可能在引用该数据项的列表中不可见。

　　3.检查按钮的功能是否正确：如新建、编辑、删除、关闭、返回、保存、导入，上一页，下一页，页

面跳转，重置等功能是否正确。常见的错误会出现在重置按钮上，表现为功能失效。

　　4.字符串长度检查:输入超出需求所说明的字符串长度的内容,看系统是否检查字符串长度。还要检查

需求规定的字符串长度是否是正确的，有时候会出现，需求规定的字符串长度太短而无法输入业务数据。

　　5.字符类型检查:在应该输入指定类型的内容的地方输入其他类型的内容(如在应该输入整型的地方输

入其他字符类型),看系统是否检查字符类型。

　　6.标点符号检查:输入内容包括各种标点符号,特别是空格,各种引号,回车键。看系统处理是否正确。

常见的错误是系统对空格的处理，可能添加的时候，将空格当作一个字符，而在查询的时候空格被屏蔽，

导致无法查询到添加的内容。

　　7．特殊字符检查：输入特殊符号，如@、#、$、%、!等，看系统处理是否正确。常见的错误是出现在

% ‘ /这几个特殊字符

　　8.中文字符处理:在可以输入中、英文的系统输入中文,看会否出现乱码或出错。

　　9.检查信息的完整性:在查看信息和更新信息时,查看所填写的信息是不是全部更新,更新信息和添加

信息是否一致。要注意检查的时候每个字段都应该检查，有时候，会出现部分字段更新了而个别字段没有

更新的情况。

　　10.信息重复:在一些需要命名,且名字应该唯一的信息输入重复的名字或ID,看系统有没有处理,会否

报错,重名包括是否区分大小写,以及在输入内容的前后输入空格,系统是否作出正确处理。

　　11.检查删除功能:在一些可以一次删除多个信息的地方,不选择任何信息,按“delete”,看系统如何

处理,会否出错;然后选择一个和多个信息,进行删除,看是否正确处理。如果有多页，翻页选，看系统是否

都正确删除，并且要注意，删除的时候是否有提示，让用户能够更正错误，不误删除。

　　12.检查添加和修改是否一致:检查添加和修改信息的要求是否一致,例如添加要求必填的项,修改也应

该必填;添加规定为整型的项,修改也必须为整型.

　　13.检查修改重名:修改时把不能重名的项改为已存在的内容,看会否处理,报错.同时,也要注意,会不

会报和自己重名的错.

　　14.重复提交表单：一条已经成功提交的纪录，返回后再提交，看看系统是否做了处理。对于Web系统

来说，可以通过浏览器返回键或者系统提供的返回功能。

　　15.检查多次使用返回键的情况:在有返回键的地方,返回到原来页面,重复多次，看会否出错。

　　16.搜索检查:有搜索功能的地方输入系统存在和不存在的内容,看搜索结果是否正确.如果可以输入多

个搜索条件,可以同时添加合理和不合理的条件,看系统处理是否正确，搜索的时候同样要注意特殊字符，

某些系统会在输入特殊字符的时候，将系统中所有的信息都搜索到。

　　17.输入信息位置:注意在光标停留的地方输入信息时,光标和所输入的信息会否跳到别的地方。

　　18.上传下载文件检查：上传下载文件的功能是否实现，上传文件是否能打开。对上传文件的格式有

何规定，系统是否有解释信息，并检查系统是否能够做到。下载文件能否打开或者保存，下载的文件是否

有格式要求，如需要特殊工具才可以打开等。上传文件测试同时应该测试，如果将不能上传的文件后缀名

修改为可以上传文件的后缀名，看是否能够上传成功，并且，上传文件后，重新修改，看上传的文件是否

存在。

　　19.必填项检查：应该填写的项没有填写时系统是否都做了处理，对必填项是否有提示信息，如在必

填项前加“*”；对必填项提示返回后，焦点是否会自动定位到必填项。

　　20.快捷键检查：是否支持常用快捷键，如Ctrl+C、Ctrl+V、Backspace等，对一些不允许输入信息的

字段，如选人，选日期对快捷方式是否也做了限制。

　　21.回车键检查:在输入结束后直接按回车键,看系统处理如何,会否报错。这个地方很有可能会出现错

误。

　　22．刷新键检查：在Web系统中，使用浏览器的刷新键，看系统处理如何，会否报错。

　　23．回退键检查：在Web系统中，使用浏览器的回退键，看系统处理如何，会否报错。对于需要用户

验证的系统，在退出登录后，使用回退键，看系统处理如何；多次使用回退键，多次使用前进键，看系统

如何处理。

　　24．直接URL链接检查：在Web系统中，直接输入各功能页面的URL地址，看系统如何处理，对于需要

用户验证的系统更为重要。如果系统安全性设计的不好，直接输入各功能页面的URL地址，很有可能会正

常打开页面。

　　25．空格检查：在输入信息项中，输入一个或连串空格，查看系统如何处理。如对于要求输入整型、

符点型变量的项中，输入空格，既不是空值，又不是标准输入。

　　26．输入法半角全角检查：在输入信息项中，输入半角或全角的信息，查看系统如何处理。如对于要

求输入符点型数据的项中，输入全角的小数点（“。”或“．”，如４．５）；输入全角的空格等。

　　27．密码检查：一些系统的加密方法采用对字符Ascii码移位的方式，处理密码加密相对较为简单，

且安全性较高，对于局域网系统来说，此种方式完全可以起到加密的作用，但同时，会造成一些问题，即

大于128的Ascii对应的字符在解密时无法解析，尝试使用“uvwxyz”等一些码值较大的字符作为密码，同

时，密码尽可能的长，如17位密码等，造成加密后的密码出现无法解析的字符。

　　28．用户检查：任何一个系统，都有各类不同的用户，同样具有一个或多个管理员用户，检查各个管

理员之间是否可以相互管理，编辑、删除管理员用户。同时，对于一般用户，尝试删除，并重建同名的用

户，检查该用户其它信息是否重现。同样，提供注销功能的系统，此用户再次注册时，是否作为一个新的

用户。而且还要检查该用户的有效日期，过了有效日期的用户是不能登录系统的。容易出现错误的情况是

，可能有用户管理权限的非超级管理员，能够修改超级管理员的权限。

　　29．系统数据检查：这是功能测试最重要的，如果系统数据计算不正确，那么功能测试肯定是通不过

的。数据检查根据不同的系统，方法不同。对于业务管理平台，数据随业务过程、状态的变化保持正确，

不能因为某个过程出现垃圾数据，也不能因为某个过程而丢失数据。

30．系统可恢复性检查：以各种方式把系统搞瘫，测试系统是否可正常迅速恢复。

31．确认提示检查：系统中的更新、删除操作，是否提示用户确认更新或删除，操作是否可以回退（即是

否可以选择取消操作），提示信息是否准确。事前或事后提示，对于Update或Delete操作，要求进行事前

提示。

　　32．数据注入检查：数据注入主要是对数据库的注入，通过输入一些特殊的字符，如“’”，“/”

，“-”等或字符组合，完成对SQL语句的破坏，造成系统查询、插入、删除操作的SQL因为这些字符而改

变原来的意图。如select * from table where id = ‘　’ and name = ‘ ’，通过在id输入框中输入

“12’-”，会造成查询语句把name条件注释掉，而只查询id=12的记录。同样，对于update和delete的操

作，可能会造成误删除数据。当然还有其它一些SQL注入方法，具体可以参考《SQL应用高级SQL注入.doc

》，很多程序都是基于页面对输入字符进行控制的，可以尝试跳过界面直接向数据库中插入数据，比如用

Jmeter，来完成数据注入检查。

　　33．刷新检查：web系统中的WebForm控件实时刷新功能，在系统应用中有利有弊，给系统的性能带来

较大的影响。测试过程中检测刷新功能对系统或应用造成的影响（白屏），检查控件是否回归默认初始值

，检查是否对系统的性能产生较大影响（如每次刷新都连接数据库查询等）。

　　34．事务检查：对于事务性操作，断开网络或关闭程序来中断操作，事务是否回滚。

　　35．时间日期检查：时间、日期验证是每个系统都必须的，如2006-2-29、2006-6-31等错误日期，同

时，对于管理、财务类系统，每年的1月与前一年的12月（同理，每年的第1季度与前一年的第4季度）。

另外，对于日期、时间格式的验证，如2006年2月28日、2006-2-28、20060228等。日期检查还要检查日期

范围是否符合实际的业务，对于不符合时间业务的日期，系统是否会有提示或者有限制

　　36．多浏览器验证：越来越多的各类浏览器的出现，用户访问Web程序不再单单依赖于Microsoft

Internet Explorer，而是有了更多的选择：Maxthon、Firefox、Tencent Traveler等，考虑使用多种浏

览器访问系统，验证效果。

　　37．安装测试：对于C/S架构的系统，安装程序的测试是一个重要方面，安装程序自动化程度、安装

选项和设置（验证各种方案是否都能正常安装）、安装过程中断测试、安装顺序测试（分布式系统）、修

复安装及卸载测试。

　　38．文档测试：主要是对用户使用手册、产品手册进行测试，校验是否描述正确、完整，是否与当前

系统版本对照，是否易理解，是否二义性等。

　　39．测试数据检查：事实告诉我们，测试数据比代码更有可能是错的，因此，当测试结果显示有错误

发生的时候，怀疑代码错误前要先对测试数据检查一遍。

　　40．请让我的机器来运行：在某些项目中，出现一个病态的问题：系统没有问题呀，它在我的机器上

是能够通过的。这就说明了其中存在着和环境相关的BUG。“是否所有的一切都受到了版本控制工具的管

理？”、“本机的开发环境和服务器的环境是否一样？”、“这里是否存在一个真正的BUG，只不过是在

其他的机器里偶然出现？”。所有的测试必须在所有系统要求的机器上运行通过，否则的话，代码就可能

存在问题。

　　41．Ajax技术的应用：Ajax有很多优点，但也有很多缺点，如果利用优点、避免缺点，是我们对新的

Web2.0应用的一个挑战。而Ajax的应用最直接的问题就是用户体验，用户体验的效果直接关系到是否使用

Ajax技术。“会做，并不意味着应该做、必须做”，这就是对Ajax技术的很重要的注解。

　　42．Ajax技术的应用：Ajax采用异步调用的机制实现页面的部分刷新功能，异步调用存在异常中断的

可能，尝试各种方法异常中断异步的数据调用，查看是否出现问题。在这里遇到的一个问题就是对日期控

件的操作，已经如果页面数据较多的时候的刷新。

　　43．脚本错误：随着Ajax、IFrame等异步调用技术的发展，Javascrīpt技术也越来越受到开发人员的

重视，但Javascrīpt存在调试困难、各浏览器存在可能不兼容等问题，因此在Web系统中，可能会出现脚

本错误。同时，脚本错误造成的后果可大、可小，不能忽视。

查看(51) 评论(0) 收藏 分享 管理
数据库测试点
2009-02-24 10:52:38

包括测试实际数据(内容)以及数据完整性,已经确保数据没有被误用以及规划的正确性,同时也对数据库应

用(例如,Sql处理组件)进行功能性测试.通常会用到SqL脚本进行数据库测试.尽管不是所有的数据库都是

适合Sql的,但是通过Sql数据库可以支持绝大部分数据操作,大多数的Web应用程序也是如此。
通常有两类由数据库错误引发的问题，它们是数据完整性错误以及输出错误。输出错误是在数据提取和操

作数据指令过程中发生的错误引起的，这时源数据是正确的。

通常，数据操作包含了以下一些活动：

首次活动（例如安装过程）

1.连邮菘夥衿?2.创建新数据库  3.创建表格、默认值和规则；填入默认数据。 4.编译存储过程和触

发器

在成功安装过程完成之后，对数据库的使用由以下活动组成：

1.连接数据库  2.执行Sql语句、存储过程以及触发器  3.释放与数据库的连接

在数据库活动中所包含的错误主要有以下几种常见类型：

1.连接数据库失败，引起该类失败的许多潜在问题包括：

a.非法的用户名、密码或两者皆非法  b.对于某些数据活动，如创建表和存储过程，用户拥有不适当的权

限。

c.非法或错误的DSN  d.与拥有必要的DSN文件的服务器连接失败

指令（存储过程、触发器等）中常见错误包括：

1.数据库被配置为区分大小写的，但是代码却没有

2.在Sql语句中使用了保留关键字，例如 Select user from mytable。user为保留关键字

3.NULL被传递给不接受NULL的记录字段

4.在字符串字段中对单引号（‘）的错误处理。

5.在整型字段中对逗号（，）的错误处理。

6.数值对于字段大小来说过大，字符串对于字段的长度来说过长。

7.超时---数据库执行完某个过程所用时间长于脚本中所设定的超时值。

8.非法或错误拼写的字段、列、表或者视图的名称，未定义的字段、表或视图的名称，非法或错误拼写的

存储过程名称

9.调用错误的存储过程。

10.缺少关键字。

下面为实际例子介绍：

1.缺少关键字的： create view student_view select * from student_tbl。其中语句缺少as关键字

 

数据库测试
随着软件业的迅猛发展，我们的开发也从以前的单层结构进入了三层架构甚至现在多层架构的设计，而数

据库从以前一个默默无闻的后台仓库，逐渐成为了数据库系统，而数据库开发设计人员成为了炙手可热的

核心人员。以前我们往往把数据库操作写在应用层，从而提高各个模块的独立性和易用性，而现在越来越

多的数据库操作被作为存储过程直接放在数据库上进行执行来提高执行效率和提高安全性。

　　数据库开发既然在软件开发的比重逐步提高，随之而来的问题也突出。我们以前往往重视对代码的测

试工作，随着流程技术的日益完善，软件质量得到了大幅度的提高，但数据库方面的测试仍然处于空白。

我们从来没有真正将数据库作为一个独立的系统进行测试，而是通过对代码的测试工作间接对数据库进行

一定的测试。随着数据库开发的日益升温，数据库测试也需要独立出来进行符合自身特点的测试工作。数

据库开发和应用开发并没有实质上的区别，所以软件测试的方法同样适用于数据库测试。

　　从测试过程的角度来说我们也可以把数据库测试分为：

　　系统测试

　　传统软件系统测试的测试重点是需求覆盖，而对于我们的数据库测试同样也需要对需求覆盖进行保证

。那么数据库在初期设计中也需要对这个进行分析,测试.例如存储过程，视图，触发器，约束，规则等我

们都需要进行需求的验证确保这些功能设计是符合需求的.另一方面我们需要确认数据库设计文档和最终

的数据库相同，当设计文档变化时我们同样要验证改修改是否落实到数据库上。

　　这个阶段我们的测试主要通过数据库设计评审来实现。

　　集成测试

　　集成测试是主要针对接口进行的测试工作，从数据库的角度来说和普通测试稍微有些区别对于数据库

测试来说，需要考虑的是：

　　数据项的修改操作；
　　数据项的增加操作；
　　数据项的删除操作；
　　数据表增加满；
　　数据表删除空；
　　删除空表中的记录；
　　数据表的并发操作；
　　针对存储过程的接口测试；
　　结合业务逻辑做关联表的接口测试；
　　同样我们需要对这些接口考虑采用等价类、边界值、错误猜测等方法进行测试。

　　单元测试

　　单元测试侧重于逻辑覆盖，相对对于复杂的代码来说，数据库开发的单元测试相对简单些，可以通过

语句覆盖和走读的方式完成系统测试相对来说比较困难，这要求有很高的数据库设计能力和丰富的数据库

测试经验。而集成测试和单元测试就相对简单了。

　　而我们也可以从测试关注点的角度对数据库进行分类：

　　功能测试
　　对数据库功能的测试我们可以依赖与工具进行。

　　DBunit
　　一款开源的数据库功能测试框架，可以使用类似与Junit的方式对数据库的基本操作进行白盒的单元

测试，对输入输出进行校验。

　　QTP
　　大名鼎鼎的自动测试工具，通过对对象的捕捉识别，我们可以通过QTP来模拟用户的操作流程，通过

其中的校验方法或者结合数据库后台的监控对整个数据库中的数据进行测试。个人觉得比较偏向灰盒。

　　DataFactory
　　一款优秀的数据库数据自动生成工具，通过它你可以轻松的生成任意结构数据库，对数据库进行填充

，帮助你生成所需要的大量数据从而验证我们数据库中的功能是否正确。这是属于黑盒测试。

　　数据库性能

　　虽然我们的硬件最近几年进步很快，但是我们需要处理的数据以更快的速度在增加。几亿条记录的表

格在现在是司空见惯的，如此庞大的数据量在大量并发连接操作时，我们不能像以前一样随意的使用查询

，连接查询，嵌套查询，视图，这些操作如果不当会给系统带来非常巨大的压力，严重影响系统性能。

　　性能优化分4部分：

　　1.物理存储方面
　　2.逻辑设计方面
　　3.数据库的参数调整
　　4.SQL语句优化

　　我们如何对性能方面进行测试呢，业界也提供了很多工具。

　　通过数据库系统的SQL语句分析工具，我们可以分析得到数据库语句执行的瓶颈，从而优化SQL语句。

　　Loadrunner
　　这个不用多说，我们可以通过对协议的编程来对数据库做压力测试。

　　Swingbench（这是一个重量级别的feature，类似LR，而且非常强大，只不过专门针对oracle而已）

　　数据库厂商也意识到这点，例如：

　　oracle11g已经提供了real application test，提供数据库性能测试，分析系统的应用瓶颈。

　　还有很多第三方公司开发了SQL语句优化工具来帮助你自动的进行语句优化工作从而提高执行效率。

　　安全测试

　　软件日益复杂，而数据又成为了系统中重中之重的核心，从以往对系统的破坏现在更倾向于对数据的

获取和破坏。而数据库的安全被提到了最前端。自从SQL 注入攻击被发现，冒失万无一失的数据库一下从

后台变为了前台，而一旦数据库被攻破，整个系统也会暴露在黑客的手下，通过数据库强大的存储过程，

黑客可以轻松的获得整个系统的权限。而SQL的注入看似简单缺很难防范，对于安全测试来说，如何防范

系统被注入是测试的难点。业界也有相关的数据库注入检测工具，来帮助用户对自身系统进行安全检测。

　　对于这点来说业界也有标准，例如ISO IEC 21827，也叫做SSE CMM 3.0，是CMM和ISO的集成的产物，

专门针对系统安全领域的另外一方面，数据库的健壮性，容错性和恢复能力也是我们测试的要点，我们也

可以发现功能测试，性能测试，安全测试，是一个由简到繁的过程，也是数据库测试人员需要逐步掌握的

技能，这也是以后公司对数据库测试人员的要求

 

 

--------------------------------------------------------
录入界面

1.1 输入字段要完整，且要与列表字段相符合（参照数据库进行检查）

1.2 必填项一律在后面用*表示（必填项为空在处理之前要有相关的提示信息）

1.3 字段需要做校验，如果校验不对需要在处理之前要有相关的提示信息

（1） 长度校验

（2） 数字、字母、日期等等的校验

（3） 范围的校验

1.4 录入字段的排序按照流程或使用习惯，字段特别多的时候需要进行分组显示

1.5 下拉框不选值的时候应该提供默认值

1.6 相同字段的录入方式应该统一（手动输入 、点选 、下拉选择、参照）

1.7 录入后自动计算的字段要随着别的字段修改更新（如单价变后，金额也变）

1.8 日期参照应该既能输入，又能从文本框选择

界面格式

2.1 字体颜色、大小、对齐方式（根据字段的性质确定）、加粗的一致性

2.2 文本框、按钮、滚动条、列表等控件的大小、对齐、位置的一致性

2.3 所有新增、修改、查看页面加上页面说明（如：XXX新增、XXX编辑、XXX查看等说明字样），（弹出

的）界面要有标题，标题与内容要一致

2.4 不同界面显示相同字段的一致性（如列表界面和编辑界面）

2.5 界面按钮显示要求（查询、新增、删除顺序）

2.6 列表的顺序排列应该统一（按照某些特定条件排序）

2.7 下拉框中的排列顺序需要符合使用习惯或者是按照特定的规则排定

2.8 所有弹出窗口居中显示或者最大化显示

2.9 信息列表中如果某个字段显示过长用“…”或者分行显示

2.10 人员、时间的缺省值一般取当前登录人员和时间

2.11 对于带有单位的字段，需要字段的标签后面添加如下内容：“（单位）”

功能问题

3.1 按钮功能的实现（如返回按钮能否返回）

3.2 信息保存提交后系统给出“保存/提交成功”提示信息，并自动更新显示

3.3 所有有提交按钮的页面都要有保存按钮（每个界面风格一致）

3.4 凡是点选或者下拉选择的界面，如果一旦选择完了无法回到不选择的情况，需要加上“清除选择”功

能按钮

3.5 没有选择记录点击删除/修改按钮要提示“请先选择记录”

3.6 选择记录后点击删除按钮要提示“确实要删除吗？”

3.7 需要考虑删除的关联性，即删除某一个内容需要同时删除其关联的某些内容

3.8 界面只读的时候（查询、统计、导入）等，应该不能编辑

查询问题

4.1 查询条件缺少一些可以查询的字段

4.2 有些查询条件需要支持模糊查询

4.3 需要考虑有些查询条件本身的关联性（即某个查询条件的取值范围是依赖于其它查询条件的取值）

4.4 查询条件名称与信息列表及信息编辑页面相应的字段名称完全统一

4.5 不同模块相同字段的查询方式应该统一（手动输入 、点选 、下拉选择）

4.6 出报表的时候，查询条件需要显示在报表标题的下面，这样看报表的时候知道数据的依据是什么

4.7 对于范围的查询采用全闭的形式（如 [2006-1-1,2006-12-30]）

 

查看(37) 评论(0) 收藏 分享 管理
11种方法检测软件可靠性[转]
2008-01-08 14:29:16

 
软件的安全可靠性是衡量软件好坏的一个重要标准，安全性指与防止对程序及数据的非授权的故意或意外

访问的能力有关的软件属性，可靠性指与在规定的一段时间和条件下，软件能维持其性能水平能力有关的

一组属性。具体我们可以从以下几个方面来判断：
1.用户权限限制。软件是否按功能模块划分用户权限，权限划分是否合理，考察超级用户对各个用户的权

限管理是否合理，包括修改用户的登录资料等。
2.用户和密码封闭性。软件对用户名和密码有无校验，有无保护措施，尤其对密码有无屏蔽功能。
3.系统对用户错误登录的次数限制。软件对用户错误登录有无次数限制，一般做法是连续三次登录失败就

退出系统。
4.留痕功能。软件是否提供操作日志，比如某用户登录的时间，查询、修改或删除的动作以及离开的时间

等。
5.屏蔽用户操作错误。考察对用户常见的误操作的提示和屏蔽情况，例如可否有效避免日期的录入错误或

写入无效的日期。
6.错误提示的准确性。当用户操作错误或软件发生错误时，能否有准确清晰的提示，使用户知道造成错误

的原因。例如当用户未输入完有效信息时存盘，系统应当给出关于未输入项的提示。
7.错误是否导致系统异常退出。考察软件运行的稳定性，当软件发生一般错误或严重错误时，软件是否会

自动退出。
8.数据备份与恢复手段。主要针对有数据存储需要的软件，有的软件依靠数据库操作系统本身的备份与恢

复机制，这需要用户具备一定的操作知识；好的软件会提供备份与恢复的操作，不需要用户直接对数据库

系统进行操作。
9.输入数据有效性检查。当用户输入的数据有错时，软件应能判断数据的有效性，避免无效数据的生成。
10.异常情况的影响。在程序运行过程中进行掉电等试验，考查数据和系统的受影响程度；若受损，是否

提供补救工具，补救的情况如何。
11.网络故障对系统的影响。当网络中断连接时，是否会造成数据的丢失。
　　以上一些方面是中国软件评测中心在大量的软件测试实践中提炼出来的比较有共性的项目，对于不同

类型的软件，在安全可靠性方面还有更多的评测指标，并且依据实际情况侧重点有所不同
-----------------------------------------------------------------------------------------
1.引言

rF z^@ u051Testing软件测试网ta}'X V"f&bl
这个不用多说了，一般包括编写目的，项目背景介绍，参考资料等等，该项基本可以随便写写。（只是为

了保持文档的完整性）

)r s)Z[{0
b6P.E(S9sL2@/qQ02.测试用例设计51Testing软件测试网X5H/N.m

9x2tWS$j0Wc`0对用例设计做一个简单的描述，包括测试范围阿，测试目标阿，测试重点阿等。该项基

本可以随便写写。（只是为了保持文档的完整性）

0F"Es5R K/x:|0
K6_:M#X%L9FT K+o03.测试环境

&_6ZFa$w/Y)w*hU051Testing软件测试网eI H(v.p^'fZn
主要描述测试所用环境，包括硬件环境和软件环境，服务端和客户端。该项比较重要。51Testing软件测

试网.n@"[0Um2OdE` `*E

51Testing软件测试网"H*ZYcG'^'{$_zp
4.测试方法51Testing软件测试网lD k*e qU^7O

51Testing软件测试网bi)v*jn rQ9LH
主要描述测试过程中自己用到什么测试方法，白盒还是黑盒，哪些部分用了自动化，用多少。该项比较重

要。

T gM9@*o^0
*Cby uRgB06.测试时间安排（执行情况）

]0EH3G;m%Q/"fg0
%z0E/L"J~~~5Z0主要描述测试过程，每个时间段都做了什么事情。该项必不可少。

~DWi#iNU0
'`~)a*^/cr~07.缺陷汇总及分析51Testing软件测试网^7m#zD-x?c)N$Y5s

+aE/R&@E]+t07.1缺陷总结

$X$t mR/ E051Testing软件测试网J#gh D&cO;g&]
一般按照严重程度，功能模块进行划分。能画图就画个图吧，直观一点。该项很重要，绝不可少。

51Testing软件测试网 N%L.Nx0CF o e3_

51Testing软件测试网e6h"lz v1AS
7.2缺陷分析51Testing软件测试网'}^dAe#/4d

51Testing软件测试网+i xx%G9P9PX)t(} /
通过上面7.1的总结，对bug进行分析。这项是测试报告的核心所在，一般有缺陷功能模块分析，缺陷类型

分析和缺陷发现阶段分析，具体更多方法参见我的另一篇博文：http://www.51testing.com/?

1592/action_viewspace_itemid_85427.html 该项很重要，绝不可少。51Testing软件测试网 ~i Bc)

B3yG0E|

51Testing软件测试网Pkh0~ r*A
7.3遗留问题51Testing软件测试网.RG w)_8uL7yc I

E8| b2^U(HN N0目前软件残存的已知问题。有些是解决不掉的问题。该项很重要，绝不可少。

GNjJ?S,a|&Pw!y051Testing软件测试网.?4dg9S] t(Z4q S/~
7.4测试结论51Testing软件测试网(Z5q1kWe2r+nU5dH

51Testing软件测试网`ep,e7ih A
基于以上分析，给被测软件一个全面客观真实的结论，功能如何，性能如何，稳定性，安全性等等给出一

个评价。该项最重要，绝不可少。51Testing软件测试网-q0c$]-H3@

;b-KY*V0h08.测试过程改进

j M,t |I!Yl d(jBr051Testing软件测试网'D{8x&F#][
对整个测试活动进行一个总结，有哪些得失，测试方法和流程需要哪些改进，测试过程中暴露出哪些问题

，有哪些好的地方值得发扬等等。该项很重要，绝不可少。

4a+ahI d0
D#Y;|s9Yl [:G09.附录51Testing软件测试网 V1V#|I0yk

*p_pb*XC?,h0一般附上缺陷列表以及执行过的测试用例地址等。该项基本可以随便写写。（只是为了

保持文档的完整性）51Testing软件测试网d^7B/AF*z

51Testing软件测试网 S8E| J3h
上面这个只是我个人比较常用的模板，仅供参考。我觉得写文档要有模板，但模板只限于统一规范和格式

（一般公司内部的文档要统一规范，要不大家各写各的就乱了），模板还有一个好处是引导思路，但是写

文档不要拘泥于模板，还是要根据自己的需要，实用一点。51Testing软件测试网*aT@mY$T

/F2kd_R;x9^;L0]8m$C3w0最后，啰嗦一句，其实测试总结报告不是仅仅为了应付测试经理或者领导，

任何事情好好去做了就又是一回事，我觉得作为一个测试人员，静下心来对自己几个月的测试工作有一个

深入的总结，也能够使经验得到积累，意识得到升华，何乐而不为呢？不能抱着应付的态度，总结是提高

自己的必经之路。51Testing软件测试网N X3s.r5|}"po.klS

KI+[)}O0这就是如何才“有效”！51Testing软件测试网Q9g+s*s;M

Dei!V/C1q0

(u+D H9W|KS5|0