‘Đừng xác thực, hãy phân tích cú pháp’ và thiết kế hướng kiểu trong Rust

Ý kiến Hacker News

• Ví dụ chia cho 0 được dùng trong bài này không phù hợp để giải thích nguyên tắc “Parse, Don’t Validate”
  Cốt lõi của nguyên tắc này nằm ở các hàm chuyển dữ liệu không đáng tin cậy thành kiểu dữ liệu đúng về mặt cấu trúc
  Bài viết "Names are not type safety" của Alexis King cũng nêu rõ rằng mẫu newtype không thể đảm bảo hoàn toàn tính “correct by construction”
  Khi hệ thống kiểu không thể biểu đạt trực tiếp bất biến, cách tiếp cận thực tế là dùng kiểu trừu tượng với smart constructor để mô phỏng parser
  Ví dụ thứ hai là non-empty vec là trường hợp tốt hơn nhiều, vì nó đảm bảo trong hệ thống kiểu rằng “luôn tồn tại ít nhất một phần tử”

  • Cách “parse, don’t validate” dựa trên newtype trong thực tế vẫn rất hữu ích
    Khi không biết chuỗi đến từ đâu, giá trị được đóng gói sẽ làm tăng độ tin cậy lên đáng kể
    Để đạt được correctness-by-construction hoàn chỉnh thì cần hệ thống kiểu phụ thuộc, nhưng cũng có những phương án nhẹ hơn như pattern types của Rust
    Ví dụ có thể giới hạn phạm vi như i8 is 0..100 hoặc biểu diễn slice không rỗng bằng [T] is [_, ..]
    Tuy vậy, non-empty list ở dạng (T, Vec<T>) là ví dụ cho thấy sự va chạm giữa tính thực dụng và tính thuần lý thuyết, vì nó có nhiều hạn chế nếu muốn xử lý như vector
  • ‘correct by construction’ là mục tiêu tối hậu
    Những kiểu như NonZeroU32 tuy đơn giản, nhưng sức mạnh thực sự nằm ở việc thiết kế toàn bộ logic miền nghiệp vụ bằng kiểu dữ liệu để compiler đóng vai trò người gác cổng
    Làm như vậy sẽ chuyển gánh nặng debug từ runtime sang thời điểm thiết kế
  • Có thể tìm thêm tài liệu liên quan với từ khóa “make invalid states impossible/unrepresentable”
    Ví dụ có thể tham khảo "Domain Modeling Made Functional" và video liên quan
  • Ví dụ chia cho 0 là một trường hợp tách biệt mối quan tâm sai cách
    Thay vì cố bọc ở mức này, nếu bọc hành vi của các hàm số học như overflow thì sẽ thấy sự khác biệt rõ hơn

• Tôi đã tổng hợp các liên kết thảo luận gần đây liên quan
  Parse, Don't Validate (2019) (tháng 2 năm 2026, 172 bình luận)
  Parse, Don’t Validate – Some C Safety Tips (tháng 7 năm 2025, 73 bình luận)
  Parse, Don't Validate (2019) (tháng 7 năm 2024, 102 bình luận) v.v.
  Chỉ chia sẻ để tham khảo

• Cách tiếp cận parsing over validation có giới hạn khi không thể biết hết mọi trường hợp của thực tế
  Với những thứ như định dạng tệp, việc thất bại càng sớm càng tốt là hợp lý, nhưng cần thận trọng khi áp dụng vào logic nghiệp vụ hoặc mô hình hóa chuyển trạng thái
  Khi yêu cầu thực tế thay đổi, hệ thống có thể không tiếp nhận được và cuối cùng người dùng sẽ tìm cách lách qua

• Ở các ngôn ngữ khác có thể tiến xa hơn với dependent typing
  Ví dụ, get_elem_at_index(array, index) có thể đảm bảo phạm vi chỉ số tại thời điểm biên dịch ngay cả khi chưa biết trước độ dài mảng
  Các kiểu Vect n a và Fin n của Idris là ví dụ cho điều đó

  • Trong Rust cũng có thư viện dùng macro để mô phỏng dependent type
    Ví dụ: anodized (video giới thiệu)
  • Nếu độ dài mảng được đọc từ stdin thì không thể biết tại thời điểm biên dịch, nên kiểu kiểm chứng này chỉ giới hạn trong các trường hợp có thông tin tĩnh
  • Mong rằng những tính năng như vậy sẽ trở nên phổ biến hơn

• Cũng có cách tiếp cận đặt nhiều hàm lên một kiểu dữ liệu
  Đó là cách như Clojure, nơi mọi dữ liệu được biểu diễn bằng một map và toàn bộ thư viện chuẩn có thể thao tác trên nó

  • Giữa câu nói của Perlis “100 hàm cho một cấu trúc dữ liệu” và “Parse, Don’t Validate” tồn tại một sự căng thẳng
    Có thể đưa các bất biến quan trọng vào kiểu, hoặc biểu diễn chúng bằng các hàm đơn giản
    Ngay cả trong ngôn ngữ kiểu động cũng có các thói quen thiết kế tạo ra hiệu quả tương tự
  • Đây không hẳn là một phương án thay thế thuần túy mà là trade-off
    Đầu vào từ bên ngoài cuối cùng vẫn phải được parse, nên nó không thể thay thế hoàn toàn
  • Nghe có vẻ giống lời phê bình “stringly typed language”, nhưng thực tế đây là quá trình tinh chỉnh dần hình dạng dữ liệu
  • Sự cân bằng là quan trọng
    Trong hệ thống kiểu cấu trúc có thể mô phỏng nominal type bằng branding, và ngược lại cũng được, nhưng không tiện về mặt công thái học
    Cuối cùng, trộn cả hai cách một cách phù hợp là thực tế nhất

• Cuộc thảo luận này gợi nhớ đến tính năng concepts của C++
  Trong Concept-based Generic Programming của Bjarne Stroustrup có ví dụ về việc tự động kiểm chứng chuyển đổi số nguyên
  Các kiểu như Number<unsigned int> hay Number<char> sẽ ném ngoại lệ nếu vượt ra ngoài phạm vi

• Ví dụ try_roots trong bài thực ra là một phản ví dụ
  Nếu muốn biểu diễn ràng buộc b^2 - 4ac >= 0 bằng kiểu trong Rust thì sẽ trở nên rất phức tạp
  Trong trường hợp như vậy, chỉ cần trả về Option và kiểm tra bên trong hàm sẽ hợp lý hơn
  Phần lớn việc kiểm chứng liên quan đến tương tác giữa nhiều giá trị, nên giải quyết bằng “parsing” khá bất tiện

  • Khi tính hợp lệ của đầu vào phụ thuộc vào quan hệ giữa nhiều đối số, cuối cùng vẫn phải gộp lại thành dạng như fn(abc: ValidABC)

• Mẫu này cũng rất phù hợp với thiết kế API
  Thay vì kiểm chứng yêu cầu JSON, có thể parse ngay từ đầu thành struct được đảm bảo bằng kiểu, nhờ đó không cần kiểm tra trùng lặp trong logic phía sau
  Có thể triển khai dễ dàng bằng tổ hợp serde + custom deserializer của Rust
  Tôi từng thấy trường hợp dùng cách này giúp giảm 60% mã xử lý lỗi

  • Trong Go cũng có thử áp dụng, nhưng do lạm dụng con trỏ và thiếu kiểu đại số, mã trở nên hơi dài dòng

• Cùng một triết lý đó cũng được áp dụng vào hệ thống thiết kế UI
  Thay vì kiểm tra CSS về sau, người ta định nghĩa các kiểu chỉ cho phép bố cục theo đơn vị lưới, để các margin tùy ý như 13px trở thành lỗi biên dịch
  Làm vậy giúp thiết kế được giữ một cách tất định

  • Có người hỏi họ đang dùng công cụ nào

• records + pattern matching của C# khá gần với cách tiếp cận này
  discriminated unions của F# còn mạnh hơn, vì với Result<'T,'Error> có thể khiến trạng thái không hợp lệ trở nên không thể biểu diễn
  C# cũng sẽ gọn gàng hơn nhiều nếu sau này có DU gốc