C++ Template für die sichere integer CASTET

Ich bin versucht, schreiben Sie ein C++ - template-Funktion, die werfen eine exception zur Laufzeit, die auf integer-überlauf in Besetzungen zwischen verschiedenen integralen Typen, mit unterschiedlichen breiten, und möglich signed/unsigned mismatch. Für diese Zwecke bin ich nicht besorgt mit der Umwandlung von Fließkomma-Typen zu integralen Typen, noch von anderen Objekt-zu-Objekt-Konvertierungen. Ich möchte dies tun, ohne zu schreiben, viel Sonderfall-code. Dies ist, was ich derzeit habe:

template< typename T, typename R > void safe_cast( const T& source, R& result )
{
    //get the maximum safe value of type R
    R rMax = (R) ~0;
    if ( rMax < 0 ) //R is a signed type
    {
        //assume that we're on an 8-bit twos-compliment machine
        rMax = ~( 0x80 << ( ( sizeof( R ) - 1 ) * 8 ) );
    }

    if ( ( source & rMax  ) != source )
    {
        throw new IntegerOverflowException( source );
    }

    result = static_cast<R>( source );
}

Ist dies richtig und effizient?

EDIT: aus verschiedenen Gründen stl ist nicht verfügbar, also ich kann nicht mit std::numeric_limits, und alles, was von Boost ist raus.

  • Aber Sie könnten kopieren Sie den code brauchst du von numeric_limits in Ihre eigenen Vorlagen Helfer. Ordnen Sie alles zu uint64 (oder was auch immer die maximal zulässige Größe ist) und Vergleiche dazu in diesem Typ.
  • Das funktioniert vielleicht, aber man muss wirklich bewusst sein, die Lizenzbedingungen, die beim kopieren von code wie dieser. Neben potenziell Verletzung der Bedingungen, könnte man versehentlich "infizieren" Ihr code, wie ist der Fall mit der GPL. Stellen Sie sicher, dass die Lizenzen kompatibel sind, bevor Sie diese Art der Sache. Die üblichen "ich bin kein Jurist" Haftungsausschluss gilt.
  • Was sind die verschiedenen Gründe, die Sie nicht verwenden können die STL?
InformationsquelleAutor JSBձոգչ | 2009-06-15
  1. 5

    Haben Sie versucht, SafeInt? Es ist ein cross-Plattform-Vorlage, die die integer-overflow-checks für eine Vielzahl von integer-Typen. Es ist verfügbar auf github

    InformationsquelleAutor JaredPar
  2. 12

    Können Sie die minimale und maximale sichere Werte (und eine ganze Menge andere Informationen) für jeden fundamentalen Typ auf viel elegantere Weise mit der std::numeric_limits Vorlage, z.B. std::numeric_limits<T>::max(). Sie müssen <limits>.

    Referenz: http://www.cplusplus.com/reference/std/limits/numeric_limits/

    • diese Bearbeiten 7 Jahre später änderte sich auch mein upvote für ein downvote. Da das Vorgestellte Beispiel Hinzugefügt von @jpo38 funktioniert nicht. Beispiel-paar: Von=int Bis=unsigned. Quelle==-1.
    • Tatsächlich, ich sah, dass fest, dass in meinem code, da ich bearbeitete diesen post. Aber vergessen, Sie zu aktualisieren Bearbeiten...sorry. Ich jetzt werfen, wenn static_cast<From>(static_cast<To>( source ) ) != source (im Grunde, wenn einige Informationen verloren, die cast...das funktioniert Super. Irgendwie ähnlich zu dem, was Tim schlägt vor, unten. Kein Verweis auf max/min wollen, schlägt fehl, wenn Sie sich von signed in unsigned und Umgekehrt.
    InformationsquelleAutor Tyler McHenry
  3. 11

    Ist boost eine option? Wenn ja, versuchen Sie boost::numeric_cast<>. Es erscheint zu bieten die Eigenschaften, die Sie suchen.

    InformationsquelleAutor Void
  4. 7

    Ich denke, dass diese Arbeit nun, unabhängig davon, ob Sie Zweierkomplement oder nicht. Bitte ausgiebig testen, bevor Sie es verwenden. Sie geben die folgenden Ergebnisse. Jede Zeile gibt einen assertion-Fehler (nur ändern, in Ausnahmen, wie du willst)

    /* unsigned -> signed, overflow */
safe_cast<short>(UINT_MAX);

/* unsigned -> unsigned, overflow */
safe_cast<unsigned char>(ULONG_MAX);

/* signed -> unsigned, overflow */
safe_cast<unsigned long>(-1);

/* signed -> signed, overflow */
safe_cast<signed char>(INT_MAX);

/* always works (no check done) */
safe_cast<long>(INT_MAX);

//giving these assertion failures results
(type)f <= (type)is_signed<To>::v_max
f <= (To)-1
f >= 0
f >= is_signed<To>::v_min && f <= is_signed<To>::v_max

    Umsetzung. Zunächst einige Dienstprogramme zu überprüfen, für integer Ränge (Arten mit höheren Rängen werden können, enthalten die Werte der Varianten mit niedrigerem Rang, da Sie das gleiche Vorzeichen. Und einige promotion-tools, um in der Lage sein, um herauszufinden, eine gemeinsame, sichere Typ (das wird nie Ausbeute eine signierte geben, wenn ein vorzeichenloser Typ ist beteiligt, wenn das signed-Typ nicht in der Lage, speichern Sie alle Werte von unsigned eins).

    /* ranks */
template<typename> struct int_rank;
#define RANK(T, I) template<> struct int_rank<T> \
    { static int const value = I; }

RANK(char, 1); RANK(unsigned char, 1); RANK(signed char, 1); 
RANK(short, 2); RANK(unsigned short, 2);
RANK(int, 3); RANK(unsigned int, 3);
RANK(long, 4); RANK(unsigned long, 4);
#undef RANK

/* usual arith. conversions for ints (pre-condition: A, B differ) */
template<int> struct uac_at;
template<> struct uac_at<1> { typedef int type; };
template<> struct uac_at<2> { typedef unsigned int type; };
template<> struct uac_at<3> { typedef long type; };
template<> struct uac_at<4> { typedef unsigned long type; };

template<typename A, typename B>
struct uac_type { 
    static char (&f(int))[1];
    static char (&f(unsigned int))[2];
    static char (&f(long))[3];
    static char (&f(unsigned long))[4];
    typedef typename uac_at<sizeof f(0 ? A() : B())>::type type; 
};

/* signed games */
template<typename> struct is_signed { static bool const value = false; };
#define SG(X, TT) template<> struct is_signed<X> { \
    static bool const value = true;                \
    static X const v_min = TT##_MIN;               \
    static X const v_max = TT##_MAX;               \
}

SG(signed char, SCHAR); 
SG(short, SHRT); 
SG(int, INT); 
SG(long, LONG); 
#undef SG

template<> struct is_signed<char> { 
    static bool const value = (CHAR_MIN < 0); 
    static char const v_min = CHAR_MIN; //just in case it's signed...
    static char const v_max = CHAR_MAX;
};

    Die Umwandlung von Vorlagen Gebrauch machen, um herauszufinden, für jeden Fall wenn was getan werden muss oder nicht getan. 

    template<typename To, typename From, 
         bool to_signed = is_signed<To>::value, 
         bool from_signed = is_signed<From>::value,
         bool rank_fine = (int_rank<To>::value >= int_rank<From>::value)>
struct do_conv;

/* these conversions never overflow, like int -> int, 
 * or  int -> long. */
template<typename To, typename From, bool Sign>
struct do_conv<To, From, Sign, Sign, true> {
    static To call(From f) {
        return (To)f; 
    }
};

template<typename To, typename From>
struct do_conv<To, From, false, false, false> {
    static To call(From f) {
        assert(f <= (To)-1);
        return (To)f;
    }
};

template<typename To, typename From>
struct do_conv<To, From, false, true, true> {
    typedef typename uac_type<To, From>::type type;
    static To call(From f) {
        /* no need to check whether To's positive range will
         * store From's positive range: Because the rank is
         * fine, and To is unsigned. 
         * Fixes GCC warning "comparison is always true" */
        assert(f >= 0);
        return (To)f;
    }
};

template<typename To, typename From>
struct do_conv<To, From, false, true, false> {
    typedef typename uac_type<To, From>::type type;
    static To call(From f) {
        assert(f >= 0 && (type)f <= (type)(To)-1);
        return (To)f;
    }
};

template<typename To, typename From, bool Rank>
struct do_conv<To, From, true, false, Rank> {
    typedef typename uac_type<To, From>::type type;
    static To call(From f) {
        assert((type)f <= (type)is_signed<To>::v_max);
        return (To)f;
    }
};

template<typename To, typename From>
struct do_conv<To, From, true, true, false> {
    static To call(From f) {
        assert(f >= is_signed<To>::v_min && f <= is_signed<To>::v_max);
        return (To)f;
    }
};

template<typename To, typename From>
To safe_cast(From f) { return do_conv<To, From>::call(f); }
    InformationsquelleAutor Johannes Schaub - litb
  5. 3

    Wie etwa:

    template< typename T, typename R > void safe_cast( const T& source, R& result )
{
    R temp = static_cast<R>( source );
    if (static_cast<T> (temp) != source
        || ( temp < 0 && source > 0)
        || ( temp > 0 && source < 0))
    {
        throw IntegerOverflowException( source );
    }
    result = temp;
}

    Dann bist du nur zu prüfen, ob das Gießen gearbeitet. Stellen Sie sicher, Sie bekommen zurück, was Sie angefangen haben, und dass das Schild nicht umdrehen.

    BEARBEITEN:
    Da der Kommentar kam Durcheinander, hier ist es formatiert:

    int myint (-1);
safe_cast( myint, mychar );
safe_cast( mychar, myuchar ); //Exception is thrown here
safe_cast( myuchar, myint );

    Den cast von int zu char funktioniert. Der cast von char auf unsigned char wirft eine Ausnahme (wie es sollte). Ich sehe kein problem hier.

    • o, Der compiler spuckt Warnungen, wenn eine der beiden Arten ist ohne Vorzeichen und der andere nicht (der Vergleich ist immer falsch, wegen der begrenzten Auswahl von Daten geben, die in g++) beim Vergleich mit 0, aber es wird nicht werfen und die Daten gehen verloren: Wenn Sie sich mit Ihrer Besetzung aus -1 (int) -1 (char) bis 0xFF (unsigned char) zurück zu int wirst du nicht bekommen -1. Der cast ist nicht 'sicher' wie die Werte sich verändert in den Weg.
    • ah, hatte ich getestet mit einem anderen compiler. Die Warnungen beziehen sich auf "temp < 0", wenn die temp ist unsigniert, das ist ok. Es sollte nicht das werfen an dieser Stelle, und keine Daten verloren gehen. Getestet habe ich das, was Sie vorschlagen, d.h.: int myint (-1); safe_cast( myint, mychar ); safe_cast( mychar, myuchar ); // Exception wird geworfen, hier safe_cast( myuchar, myint ); Der cast von int zu char funktioniert. Der cast von char auf unsigned char wirft eine Ausnahme (wie es sollte). Ich sehe kein problem hier.
    InformationsquelleAutor Tim
  6. 1

    Bin ich richtig in der Annahme, dass in dem Fall, dass R unterzeichnet ist, können Sie versuchen, zu füllen, rMax mit all 1s, außer für das Letzte Stück? Wenn das der Fall ist, dann sollten Sie 0x80 (1000 0000) anstelle von 0x10 (0001 0000).

    Es auch nicht Aussehen, Ihre Funktion unterstützt negative zahlen für die Quelle.

    Edit:

    Hier ist eine leicht bearbeitete version, die ich getestet habe für die Umwandlung von ints in chars:

    template< typename T, typename R >
void safe_cast( const T& source, R& result )
{
    //get the maximum safe value of type R
    R rMax = (R) ~0;
    if ( rMax < 0 ) //R is a signed type
    {
        //assume that we're on an 8-bit twos-compliment machine
    rMax = ( 0x80 << ( ( sizeof( R ) - 1 ) * 8 ) );
    if(source >= 0)
        rMax = ~rMax;
    }

    if ( (source >= 0 && ( source & rMax  ) != source) || (source < 0 && (source & rMax) != rMax) )
    {
        throw new IntegerOverflowException( source );
    }

    result = static_cast<R>( source );
}

    Edit: Fehler behoben.

    InformationsquelleAutor Niki Yoshiuchi
  7. 1

    betrachten Sichere Numerik bei http://rrsd.com/blincubator.com/bi_library/safe-numerics

    Diese Bibliothek bietet drop-in-Ersatz für alle C primitiven integer-Typen. C Operationen, die Ergebnis-fehlerhafte Ergebnisse - einschließlich Gießen sind gefangen, sobald Sie erkannt wird.

    InformationsquelleAutor Robert Ramey
  8. 0

    Ich muss etwas fehlen, ist aber nicht das, was Sie wollen?:

    //using a more cast-like prototype, if I may:
template<class to, class from> inline
to safe_cast(from f)
{
   to t = static_cast<to>(f);
   if ( t != f ) throw whatever; //no new!
   return t;
}
    • Nein, wenn Sie sich mit Ihrer Besetzung aus -1 (int) -1 (char) bis 0xFF (unsigned char) zurück zu int wirst du nicht bekommen -1. Der cast ist nicht 'sicher' wie die Werte sich verändert in den Weg.
    • Hi Dribeas, tut mir Leid, ich bin nicht sicher, was Sie sagen. . safe_cast<char>(int(-1)) nicht überläuft, und kehrt in Ordnung . safe_cast<unsigned char>(char(-1)) ändert das Vorzeichen (und Wert), und wirft. daher ist das richtige Verhalten. oder, was sagen Sie?
    • angenommen char ist unterzeichnet, safe_cast<unsigned char>(char(-1)) wird die Menge t zu UCHAR_MAX (vermutlich 255). dann if(t != f) Förderung von char zu int, nachgiebig, -1 und unsigned char nach int, was die 255, somit sind Sie nicht gleich. ABER tun safe_cast<unsigned int>(-1), dann wird t zu UINT_MAX, dann die, wenn nicht zu fördern nichts, und konvertieren Sie die int zu unsigned int (UAC), also nachgeben UINT_MAX wieder, und falsch zu denken, die Besetzung gelungen.
    • Ich finde, dass schwer zu glauben ist; ist C++ eigentlich unterscheiden sich von C an dieser Stelle? C99 macht unmissverständlich klar, dass "Wenn ein Wert mit integer-Typ konvertiert auf anderen integer-Typen ... wenn der Wert der dargestellt werden kann, durch die neue Art, es ist unverändert." So--C--konvertieren UCHAR_MAX int in deinem Beispiel gibt 255.
    • das gleiche passiert in meinem Beispiel. t ist UCHAR_MAX, und wenn gefördert, um int es werden 255. Was die Konvertierung zu tun, Sie beziehen sich auf insbesondere?
    • sorry, habe ich missverstanden Ihre früheren Kommentar. Ja, ich glaube, dass sein cast fehl, aus genau dem Grund, den Sie gab.

    InformationsquelleAutor sly
  9. 0

    Ich habe einen einzigen header zu süß.hpp genannt conv.hpp. Es wird testen Sie die Grenzen für alle integer-Typen und erlaubt es auch, in und aus string CASTET für integer.

    short a = to<short>(1337);
std::string b = to<std::string>(a);
long c = to<long>(b);
    InformationsquelleAutor burner
Schreibe einen Kommentar