Научный форум dxdy

Это проблема C/C++ стандарта. Там есть такое понятие - "undefined behavior" или "неопределённое поведение". На то оно и неопределённое, что совершенно не определено, что же именно произойдёт. Поэтому и пугают крайними случаями, типа форматирования.
А недостаток в том, что некоторые операции всё-таки лучше было хоть как-то определить. Например, можно было застандартизировать, что инкремент указателя за пределы массива даёт неинициализированный указатель, т.е. обращение по нему как раз даёт неопределённое поведение, а остальные операции всего лишь оставляют его неинициализированным. В принципе, именно так реальные компиляторы и работают, а не следуют букве стандарта, считая любое неопределённое по стандарту поведение одинаково неопределённым. Поэтому я и сказал вам, что в данном случае это ерунда, и можно про неё забыть. Большинство про это место в стандарте даже не знает.

-- Пт авг 28, 2015 19:57:47 --

Второй вариант, кроме собственно работы с массивами, ещё обязан изменить внешнюю для функции структуру. Работы больше, соответственно и медленнее.

Большое спасибо.
Прошу ответить на два новых вопроса.


Я думал, что при арифметических операциях с целыми числами есть только
один особый случай - деление на ноль. А всё остальное лишь переполнение
регистра, без каких-нибудь последствий. Не могли бы Вы пояснить, что Вы
подразумевали под этими своими словами "переполнение однозначно определено"?
Это первый мой вопрос.

Привожу написанную мной функцию преобразования строки в off_t-число.
Для off_t-чисел нет стандартных формата или функций преобразования, поэтому
самодельная. Сначала преобразует строку в off_t-число, а затем полученное число
преобразует как бы в строку и сравнивает эту строку с исходной. На самом деле
другой строки нет, а есть посимвольное сравнение с исходной. Так отлавливает
переполнение.

Рассмотрим кусок кода этой моей функции:

Этот кусок преобразует строку в off_t-число. Без проверки переполнения,
переполнение проверяется отдельно. Я знаю альтернативный код, вот он
(не опробован):

Это хороший код, отлавливает "переполнение", но самого переполнения не бывает.
Тут комар носа не подточит, всё верно. Но надо знать константы, а в моей функции
их знать не надо. Я считал это моим преимуществом.
Когда я спрашивал: "Можно ли к указателю прибавить любое число?", то я
надеялся получить положительный ответ. Но ответ оказался скорее отрицательным,
чем положительным.
Теперь я спрашиваю: в этом моём куске кода, не альтернативном, а моём, а для него,
по замыслу, переполнение - это штатный режим, в нем переполняется не указатель, а
число, таится ли в этом моём куске кода какая-нибудь опасность? Это мой второй вопрос.

Не разводите панику. Достаточно всего лишь по возвращении из free() не использовать этот указатель, в том числе в арифметике указателей (а не только разыменовывая), и никакого undefined behavior не будет. Например, можно той же переменной присвоить 0 или другой указатель.

Та же проблема. По стандарту переполнение в арифметике со знаковыми числами - undefined behavior. И тоже никто не парится. Хотя недавно оптимизатор GCC так улучшили, что он как раз и сделал то, про что я писал - выкинул кусок кода, в котором было переполнение с int. Но это быстро исправили в компиляторе.

Кстати:

Здесь тоже undefined behavior. Параметр функций типа isdigit() может иметь значение в диапазоне от -1 до 255, иначе - undefined behavior. А если тип char - знаковый (обычно), и в строке окажется не ASCII символ, например кириллица, то он при преобразовании к типу int даст отрицательное значение, которое в функцию isdigit() передавать нельзя. Но поскольку так делают очень часто, в стандартной библиотеке линукса ослабили это требование, и разрешили параметру иметь значение от -128 до 255. Хоть и undefined behavior.

Я же сказал "если всё сделать в духе того, как декларировано в стандарте". Идея этого ограничения в том, что CPU может обрабатывать указатели в особых регистрах со встроенной проверкой, и неправильный указатель просто нельзя будет в регистр записать. Но как раз в таком случае вызов функции free() должен стать проблемой - она должна освободить память, что сделает указатель в вызывающей функции не-валидным. Понятно, что так ничего не получится, поэтому такого ограничения в стандарте нет, хоть для этого компилятору на такой экзотической платформе придётся особенным образом обрабатывать функцию free() и аналогичные.
Ещё раз повторю - это если всё сделать в духе того, как декларировано в стандарте.

-- Сб авг 29, 2015 08:58:50 --

Да, т.к. off_t знаковый, то будет undefined behavior. Используйте беззнаковый тип того же размера, а знак смените в конце функции. Ну и ещё ваш первый вариант сильно медленнее второго.

Даже если так, существование указателя в переменной, который стал инвалидным уже после того, как был записан в неё, стандартом не запрещается. Даже такие CPU не будут его проверять.

Смутно помнится даже, что на эту тему какие-то оговорки в стандарте были: мол, такое невалидное значение может спокойно существовать в переменной, но не может оттуда извлекаться и участвовать в операциях, а может быть только записано поверх другим значением, или быть уничтожено в деструкции переменной (например, по выходе из области действия). Но может, это где-то ещё было написано.

Более того, безопасность хранения таких величин в памяти гарантируется хотя бы существованием union-ов: в области памяти, которая может быть переменной-указателем, могут также лежать и биты, не имеющие никакого отношения к семантике указателя.

Спасибо.
Плохо, но ничего не поделаешь.

Вы, venco, уже дважды упоминали беззнаковые числа,
но не объяснили про них. Ваши слова: "У беззнаковых чисел переполнение однозначно
определено".

Пусть наш компьютер работает по стандарту, но наихудшим для нас образом.
Пусть для простоты sizeof(int)=1, sizeof(unsigned int)=1.
min_int = -128
max_int = +127
min_uint = 0
max_uint = 255
Что случится самое плохое?

Правильно ли я понял?

На самом деле ничего страшного не произойдёт, так же как и с указателями. Но стандарт говорит, что переполнение чисел со знаком - undefined behavior, а переполнение беззнаковых чисел однозначно считается по модулю соответствующей степени двойки.

Дело в том, что числа со знаком могут быть закодированы по-разному. Сейчас практически везде используется дополнение до двух, но стандарт позволяет реализовывать Си и на других архитектурах.

Для таких случаев в стандарте есть понятие "implementation dependent" (зависит от реализации), или "unspecified behavior" с перечислением допустимых вариантов, но в комитете почему-то выбрали "undefined behavior", что гораздо хуже, т.к. не даёт программисту вообще никаких гарантий.

Да, вы правы. Видимо, речь о другом: о том, что вообще переполнения могут вызывать аппаратные прерывания и исключения, с каким угодно результатом (если среда выполнения о нём не позаботилась). Правда, вот тут уж то же самое относится и к переполнению беззнаковых... В общем, не могу понять, что было в голове у авторов стандарта.

Стандарт С++ зачастую очень мутная штука. :)
Просто из желания охватить как можно больше аппаратных решений.
Гарантий вроде как и нет, но если логически подумать, то "а по другому то и никак".
Например в memory model явно прописано, что память это один или несколько последовательных регионов, состоящих из байт.
Отсюда уже можно понимать, что под "array" можно понимать как раз каждый такой регион как минимум по отдельности. Т.е. требование на невыход за пределы массива +1 логично ослабляется. Хотя да, везде потом будет звучать только, что "array" в контексте что это именно array выделенный статически или динамически средствами языка.

Бардак даже в том, что если побуквенно втыкать в стандарт, то базовый макрос offsetof является "UB", потому что там "разыменование NULL-указателя".
Но при этом там нет на самом деле разыменования, если смотреть в стандарт Си, где явно говорится, что &*ptr "отменяют друг друга и равны в точности ptr".
И на самом в стандарте С++ про это начали заикаться, но не довели до в точности такой же формулировки.
А по другому то - никак.

Понял, спасибо.

(Оффтоп)

Они не привелегированные, просто их машинное представление просто как пробка.

В сообщении http://dxdy.ru/post1048966.html#p1048966
я приводил функцию преобразования строки в off_t-число. Она опасна.
Я переделал по второму варианту, с константами. Только где брать эти константы
- неведомо. А уж при переносе на другой компьютер неприятности обеспечены.
venco предложил "Используйте беззнаковый тип того же размера".
Рад бы, да, как говорится, хрен редьки не слаще.
Первый вариан был хоть и опасный, зато самодостаточный. Я попытался восстановить
самодостаточность:

На моём компьютере это работает (только потерял максимальное отрицательное число).
Но нет ли тут какого-нибудь подвоха?

Вся функция:

> Только где брать эти константы - неведомо.

Фигня-вопрос, во первых даже в stdlib есть куча констант типа INT_MAX, во вторых если проект кроссплатформенный, то там сразу принцип наименьшего противодействия заключается в вынесении платформенно-зависимых штук в отдельные файлы проекта, которые подключаются на разных платформах по разному. #ifdef - это еще наиболее простой способ такое делать.