没有有用和可靠的方法来检测C / C ++中的整数溢出?
不,这不是如何检测整数溢出的重复? 。 问题是一样的,但问题是不同的。
gcc编译器可以优化掉溢出检查(使用-O2),例如:
int a, b; b = abs(a); // will overflow if a = 0x80000000 if (b < 0) printf("overflow"); // optimized away gcc人认为这不是一个错误。 根据C标准,溢出是未定义的行为,它允许编译器执行任何操作 。 显然, 任何事情都包括假设溢出永远不会发生。 不幸的是,这允许编译器优化掉溢出检查。
最近的CERT文件中描述了检查溢出的安全方法。 本文建议在添加两个整数之前执行类似的操作:
if ( ((si1^si2) | (((si1^(~(si1^si2) & INT_MIN)) + si2)^si2)) >= 0) { /* handle error condition */ } else { sum = si1 + si2; }
显然,当你想确保结果有效时,你必须在一系列计算中的每个+, – ,*,/和其他操作之前做这样的事情。 例如,如果要确保数组索引不受限制。 这太麻烦了,几乎没有人这样做。 至少我从未见过一个系统地执行此操作的C / C ++程序。
现在,这是一个根本问题:
-
在访问arrays之前检查数组索引很有用,但不可靠。
-
使用CERT方法检查一系列计算中的每个操作都是可靠但无用的。
-
结论:在C / C ++中没有有用且可靠的方法来检查溢出!
我拒绝相信这是在编写标准时的意图。
我知道有一些命令行选项可以解决问题,但这并没有改变我们对标准或其当前解释存在根本问题的事实。
现在我的问题是:当gcc人员允许他们优化掉溢出检查,或者C / C ++标准被破坏时,是否会对“未定义行为”进行过多解释?
补充说明:抱歉,您可能误解了我的问题。 我不是问如何解决这个问题 – 这已经在其他地方得到了回答。 我在问一个关于C标准的更基本的问题。 如果没有有用且可靠的方法来检查溢出,那么语言本身就是可疑的。 例如,如果我使用边界检查创建一个安全的数组类,那么我应该是安全的,但是如果边界检查可以被优化掉的话我不会。
如果标准允许这样做,则标准需要修订或标准需求修订的解释。
补充说明2:这里的人们似乎不愿意讨论“未定义行为”的可疑概念。 C99标准列出了191种不同的未定义行为( 链接 )这一事实表明了标准的草率。
许多程序员都乐于接受“未定义的行为”赋予许可做任何事情的声明,包括格式化硬盘。 我认为标准将整数溢出放入与写入数组边界相同的危险类别是一个问题。
为什么这两种“未定义的行为”不同? 因为:
-
许多程序依赖于整数溢出是良性的,但是当你不知道那里有什么时,很少有程序依赖于写出数组边界。
-
在数组边界外编写实际上可以做一些像格式化硬盘一样糟糕的事情(至少在像DOS这样的无保护的操作系统中),大多数程序员都知道这很危险。
-
当你将整数溢出放入危险的“任何事情”类别时,它允许编译器做任何事情,包括说谎它正在做什么(在优化溢出检查的情况下)
-
使用调试器可以找到诸如写入数组边界之类的错误,但是优化掉溢出检查的错误不能,因为优化通常在调试时关闭。
-
在整数溢出的情况下,gcc编译器明显地避免了“任何事情”政策。 在许多情况下,除非可以validation溢出是不可能的,否则它不会优化例如循环。 出于某种原因,gcc人已经认识到如果他们遵循“任何事情”政策,我们会有太多错误,但他们对优化掉溢出检查的问题有不同的态度。
也许这不是讨论这些哲学问题的正确场所。 至少,这里的大多数答案都是不合适的。 有没有更好的地方来讨论这个?
问问自己:你多久需要一次检查算术? 如果您经常需要它,您应该编写一个checked_int类,它重载公共运算符并将检查封装到此类中。 在开源网站上分享实施的道具。
更好(可以说),使用big_integer类,以便溢出不会发生在一开始。
gcc开发人员在这里完全正确。 当标准表明行为未定义时,这意味着编译器没有任何要求。
由于有效的程序不能做任何导致UB的事情(因为它不再有效),编译器可以很好地假设UB不会发生。 如果它仍然存在,编译器所做的任何事情都可以。
对于溢出问题,一种解决方案是考虑caclulations应该处理的范围。 例如,在平衡我的银行账户时,我可以假设金额远低于10亿,因此32位的int将起作用。
对于您的应用程序域,您可以对可能出现溢出的确切位置进行类似的估计。 然后,您可以在这些点添加检查或选择其他数据类型(如果可用)。
int a, b; b = abs(a); // will overflow if a = 0x80000000 if (b < 0) printf("overflow"); // optimized away
(你似乎假设2s补充...让我们一起运行)
谁说abs(a) “溢出”如果有二进制模式(更确切地说,如果是INT_MIN )? abs(int)的Linux手册页说:
尝试取最负整数的绝对值未定义。
未定义并不一定意味着溢出。
因此,你的前提是b可能小于0,并且这在某种程度上是对“溢出”的测试,从一开始就存在根本性的缺陷。 如果你想测试,你不能对可能有未定义行为的结果这样做 - 在操作之前做它!
如果您关心这一点,您可以使用C ++的用户定义类型(即类)来围绕您需要的操作实现您自己的一组测试(或找到已经执行此操作的库)。 该语言不需要内置的支持,因为它可以在这样的库中同样有效地实现,结果使用的语义不变。 这是基本的力量,是C ++的伟大之处。
只需使用正确的b类型:
int a; unsigned b = a; if (b == (unsigned)INT_MIN) printf("overflow"); // never optimized away else b = abs(a);
编辑:使用无符号类型可以安全地完成C中溢出的测试。 无符号类型只包含算术和签名类型安全地转换为它们。 所以你可以对你喜欢的那些进行任何测试。 在现代处理器上,这种转换通常只是对寄存器的重新解释,因此无需运行时成本。