本文永久链接 – https://tonybai.com/2025/10/26/sqlite-say-no-to-go-and-rust

大家好，我是Tony Bai。1024程序员节赠书活动火热进行中，希望大家踊跃参与，赢取自己的幸运！

在当今的软件工程界，“内存安全”已成为一种近乎道德正确的政治正确。Go 和 Rust 等现代“安全语言”，凭借其在编译期消除一整类危险 Bug 的能力，被誉为是 C/C++ 等“不安全”语言的终极替代者。然而，在这个看似不可阻挡的浪潮中，一个响亮的“不”字，却来自一个最意想不到、也最令人无法忽视的角落——SQLite。

SQLite，这个星球上部署最广泛的数据库引擎，顽固地坚守着 C 语言阵地。近日，其官网一篇详细阐述“Why Is SQLite Coded In C”的文章，在 Hacker News 等技术社区引发了轩然大波。

这篇文章，如同一把锋利的手术刀，无情地划开了“安全语言”耀眼的光环，为我们揭示了其背后，在极端可靠性工程中所面临的、不为人知的工程现实。这不再是一场简单的语言之争，而是一次对“安全”真正含义的深刻追问。

“安全语言”的光环：我们所相信的“神话”

在深入 SQLite 的论据之前，让我们先回顾一下“安全语言”带给我们的美好承诺：

• 消除未定义行为 (Undefined Behavior)：杜绝数组越界、空指针解引用、use-after-free 等一系列在 C/C++ 中臭名昭著的内存安全漏洞。
• 提升开发者生产力：通过垃圾回收 (Go) 或所有权系统 (Rust)，将开发者从繁琐的手动内存管理中解放出来。
• 更强大的抽象能力：提供更现代的语言特性，帮助构建更易于维护的系统。

这个光环是如此耀眼，以至于“为什么不用 Rust/Go 重写 XX？”已经成为了技术社区的日常拷问。

SQLite 的拷问：光环之下的工程现实

SQLite 团队的论点，并非源于对新技术的抗拒，而是基于数十年如一日、为航空电子设备等“生命攸关”系统构建软件所积累的独特工程哲学。他们提出的每一个“不”，都是对“安全语言”光环的一次现实拷问。

拷问一：成熟度与历史债务——被充分测试的“不安全” vs. 未知的新 Bug

光环：用安全语言重写，可以消除所有内存安全 Bug。
现实：SQLite 拥有一个经过数十年、数万亿次测试验证的 C 代码库。将其用一门全新的语言重写，即便能消除旧的内存安全问题，也“几乎肯定会引入远比修复的 Bug 更多的、全新的逻辑 Bug”。

社区的普遍共识印证了这一点：一个成熟、稳定、经过极限测试的 C 代码库，其在现实世界中的可靠性，可能远超一个用“安全语言”草率重写的新版本。正如 Google 安全博客所言：“代码会随着时间的推移而成熟并变得更安全。”

拷问二：对 OOM 的态度——优雅降级 vs. 直接放弃

光环：安全语言通过在出错时快速失败 (fail-fast) 来保证系统状态的一致性。
现实：“安全语言通常在遇到内存不足 (OOM) 的情况时，会选择中止 (abort) 程序。” SQLite 的应用场景（如飞行器软件、嵌入式设备）决定了它必须具备在极端条件下尽力恢复、优雅降级的能力，而不是简单地崩溃。SQLite 团队认为，目前的安全语言，在提供这种精细化的、可从 OOM 中恢复的机制方面，尚不明确。对于一个嵌入在飞行控制系统中的数据库而言，“崩溃”从来不是一个可接受的选项。

拷问三：对 Go 的不信任——消失的 assert()

光环：Go 的显式错误处理 (if err != nil) 比 C 的断言 (assert()) 更健壮。
现实：SQLite 的开发哲学，严重依赖 assert() 来守护那些“理论上永不应该发生”的内部不变量。这些断言在开发和测试构建中被启用，但在生产构建中则被彻底编译掉，以追求极致性能。Go 语言的设计哲学“讨厌 assert()”，它不提供这种条件编译的能力，坚持所有检查都必须在运行时存在。这种哲学上的根本分歧，使得 Go 从一开始就不在 SQLite 的考虑范围之内。

拷问四：对 Rust 的终极挑战——100% 分支覆盖率的“诅咒”

这是 SQLite 提出的最具争议、也最深刻的一个论点，直接挑战了“安全语言”编译器的核心行为。

光环：编译器自动插入的安全检查（如数组边界检查）是内存安全的基石。
现实：

“安全语言会插入额外的机器码分支，来做诸如数组边界检查之类的事情。在正确的代码中，这些分支永远不会被执行。这意味着，生成的机器码无法达到 100% 的分支测试覆盖率，而这恰恰是 SQLite 质量策略的一个重要组成部分。”

这个论点在社区中引发了激烈的辩论。其核心在于两种截然不同的信任哲学：

• 安全语言的信任哲学：信任编译器。编译器插入的 panic 分支是“安全带”，它们保证了即使在最坏的情况下，程序也不会陷入比 panic 更糟糕的未定义行为。
• SQLite 的信任哲学：只信任测试。他们追求的是对最终生成的每一个二进制指令进行 100% 的分支覆盖测试。如果编译器“偷偷”加入了他们无法在正常测试中触发的、理论上“不可达”的 panic 分支，那么这份测试的完备性就被打破了。对于 SQLite 而言，一个未经测试的代码分支，就是一个潜在的“宇宙射线位翻转”或未知 CPU bug 的攻击面。

SQLite 选择的是确定性的、可被完全验证的“不安全”，而非带有未知“黑盒”分支的“安全”。

Go 在 SQLite 世界中的真实位置

尽管 SQLite 官方对 Go 持保留态度，但 Go 社区除了通过go-sqlite3这个sqlite的go wrapper来提供直接的sqlite使用支持外，还通过另一种方式拥抱了 SQLite。modernc.org/sqlite 是一个备受关注的项目，它通过一个惊人的工程壮举——将 C 代码移植为 Go 代码——实现了一个纯 Go 版的 SQLite。

• 优点：提供了极大的便利，让 Go 开发者可以不依赖 CGO 就使用 SQLite，从而享受简单的交叉编译和静态部署。
• 缺点：性能相比原生 C 版本有下降。

这个真实案例，恰好从侧面印证了 SQLite 官方“重写可能会导致代码变慢”的担忧。

小结：工程没有“神话”，只有“权衡”

SQLite 的故事，并非是对 Go 或 Rust 的全盘否定。Go 和 Rust 在它们所设计的领域——尤其是网络服务和现代应用开发中——其提供的内存安全保障无疑是巨大的进步，并且已经阻止了无数潜在的安全漏洞。

然而，SQLite 以其自身在极端可靠性领域的独特实践，向我们揭示了一个深刻的道理：技术选型中不存在普适的“最佳实践”，只存在特定“上下文” (Context) 下的最优解。

“安全语言”的光环，在 SQLite 严苛的、基于二进制验证的工程现实面前，暴露出了一些不曾被主流开发者所审视的权衡：

• 成熟度 vs. 理论安全
• 可恢复性 vs. 快速失败
• 完全可测性 vs. 编译器保障

这场辩论提醒我们，作为工程师，我们必须警惕任何形式的技术“原教旨主义”。在“安全”这个看似不容置疑的优点面前，SQLite 勇敢地追问：“为了这份‘安全’，我们付出了什么代价？这份代价，在我所在的场景下，是否值得？”

这，或许就是 SQLite 这块用 C 语言精心打磨了四分之一个世纪的“活化石”，在今天能教给我们的、比任何数据库技术都更宝贵的工程智慧。

资料链接：

• https://news.ycombinator.com/item?id=45584464
• https://www.sqlite.org/whyc.html

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

想系统学习Go，构建扎实的知识体系？

我的新书《Go语言第一课》是你的首选。源自2.4万人好评的极客时间专栏，内容全面升级，同步至Go 1.24。首发期有专属五折优惠，不到40元即可入手，扫码即可拥有这本300页的Go语言入门宝典，即刻开启你的Go语言高效学习之旅！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/10/25/go-iota-flaw-or-magic

大家好，我是Tony Bai。

“我一直在 DUNK Go，因为我觉得它是一门糟糕的语言。但我从未意识到，它比无底的绝望深渊还要深。这TMD是啥？”

近日，一条关于 Go 语言 iota 的“咆哮”推文在开发者社区引发了热议。推文作者 Dmitrii Kovanikov 贴出了一张看似极其复杂、反直觉的 iota 计算示例（如下图），并将其作为 Go 语言设计糟糕的“罪证”。

这种对 iota 的困惑，几乎是每一位 Gopher 在学习之路上都曾遇到过的“成年礼”。它那看似“不合逻辑”的行为，让许多初学者和来自其他语言的开发者感到费解，甚至愤怒。那么，iota 究竟是一个彻头彻尾的设计缺陷，还是一种被误解了的“黑魔法”？

本文将从这条“咆哮”推文出发，深入 iota 的内核，在这场关于设计的辩论中，为你揭示其背后隐藏的逻辑与哲学。

iota 是一个“设计缺陷”吗？

让我们首先站在这位“咆哮”的开发者一边，审视一下 iota 为何会显得如此“反直觉”，以至于被认为是“设计缺陷”。

“罪证”分析：令人困惑的隐式行为

推文中那张令人费解的图片，其核心在于 iota 的一个隐晦特性：

type Weekday int
const (
    Sunday Weekday = iota + 1 // iota=0, 表达式="iota+1", Sunday=1
    _                         // iota=1, 沿用表达式"iota+1", 值为2, 但被丢弃
    Monday                    // iota=2, 沿用表达式"iota+1", Monday=3
    // ...
)

对于习惯了显式声明的程序员来说，这里的 _ 和 Monday 的值是如何计算出来的，完全是一个谜。iota 的值似乎在以一种不可预测的方式跳跃。这种“不写代码，代码却在运行”的感觉，正是“魔法”一词的负面含义——不可预测、难以推理。

核心论点：违反了“最小惊讶原则”

“最小惊讶原则”(Principle of Least Astonishment) 是软件设计中的一条重要准则，即代码的行为应该尽可能符合开发者的直觉和预期。

从这个角度看，iota 似乎是一个失败的设计：

1. 隐式重复：如果一个常量声明没有赋值，编译器会自动重复上一行的表达式。这个规则本身就不那么广为人知。
2. 动态的值：iota 不是一个真正意义上的常量，它的值在 const 块的每一行都会变化。

当这两个特性叠加在一起时，就创造出了一个需要用户记住多重隐式规则才能正确使用的“黑盒”。对于初学者而言，这无疑是一个巨大的认知负担，也是一个容易出错的陷阱。因此，“设计缺陷”的指控，并非空穴来风。

iota 是一种被误解的“黑魔法”

现在，让我们切换视角，看看为什么 Go 社区的资深开发者们，普遍认为 iota 不仅不是缺陷，反而是一种优雅的“黑魔法”。

揭开魔法的面纱：两大核心法则

要理解 iota 的所有行为，你只需要掌握两大核心法则，它们简单、一致且没有例外：

1. iota 是行索引：在一个 const 块中，iota 的值就是它所在的行号（从 0 开始）。每当遇到一个新的 const 关键字，iota 就会重置为 0。
2. 表达式隐式重复：如果一个常量声明没有赋值，编译器会自动重复上一行的表达式，而不是值。

一旦你理解了这两条规则，iota 的所有行为就从“魔法”变成了“逻辑”。之前那个令人困惑的例子，其计算过程变得完全透明：

• Sunday 所在行 iota=0，表达式是 iota + 1，所以 Sunday=1。
• _ 所在行 iota=1，隐式重复表达式 iota + 1，所以值为 1 + 1 = 2。
• Monday 所在行 iota=2，隐式重复表达式 iota + 1，所以值为 2 + 1 = 3。
• …以此类推。

iota 并非不可预测，它只是要求你学习一套不同于其他语言的、新的心智模型。

“黑魔法”的终极形态：位掩码 (Bitmasks)

如果 iota 仅仅用于创建递增枚举，那还不足以称之为“黑魔法”。iota 的终极威力，体现在它与位运算的完美结合上，特别是在创建位掩码时。

package main

import "fmt"

type Permission uint8

const (
    // "1 << iota" 这个表达式，与 iota 的递增完美结合
    PermissionRead    Permission = 1 << iota // 1 << 0 = 1  (00000001)
    PermissionWrite                         // 隐式重复 "1 << iota"，iota=1, 结果为 2 (00000010)
    PermissionExecute                       // iota=2, 结果为 4 (00000100)
    PermissionAdmin                         // iota=3, 结果为 8 (00001000)
)

func main() {
    var userPermissions Permission = PermissionRead | PermissionWrite
    fmt.Printf("User has Read and Write: %08b\n", userPermissions)

    hasExecute := (userPermissions & PermissionExecute) != 0
    fmt.Printf("Can user execute? %t\n", hasExecute)
}

这个模式极其强大、高效且地道。它将 iota 从一个简单的“计数器”，升华为一个生成指数序列的“引擎”，完美地契合了位掩码的需求。这种简洁的表达力，是其他语言难以企及的。这才是 iota 设计的“神来之笔”。

小结：设计的权衡

那么，iota 究竟是设计缺陷，还是“黑魔法”？

我的结论是：它两者皆是，又两者皆非。

iota 的故事，是 Go 语言设计哲学的一次完美缩影：它愿意牺牲一点点的“立即可理解性”，来换取在特定模式下的极致简洁和强大。

• 对于初见者，它确实像一个违反直觉的“设计缺陷”。
• 对于精通者，它则是一个能够四两拨千斤的“黑魔法”。

Go 的设计者们做出了一个明确的权衡：他们相信，为“枚举”和“位掩码”这两个常见场景，提供一个统一、强大且富有表达力的核心原语，其长期收益，远大于它给初学者带来的短期困惑。

当然，一篇技术文章的篇幅终究有限。如果你希望系统性地掌握 iota 的所有用法，彻底告别类似的困惑，并深入 Go 语言的每一个核心特性，那么，我的极客时间专栏《Go 语言第一课》正是为你准备的。 在这个专栏中，我用了整整一讲，从最基础的行索引，到隐式重复的规则，再到高级的位掩码应用，抽丝剥茧地为你彻底讲透 iota 的前世今生。我相信，看完了这一课的 Gopher，绝不会再发出类似的“咆哮”。

此外，对于偏爱墨香和实体书质感的小伙伴，我的《Go语言第一课》同名纸质版图书也已上市。恰逢双十一大促，各大电商平台均有全年难得的低价优惠，正是入手这本“Go 语言入坑宝典”的最佳时机，机会不容错过！

无论你是希望通过极客时间专栏系统学习，还是在纸页间细细品味，现在都是将你对 Go 的零散认知，构建成坚不可摧的知识体系的最佳时刻！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。