Erkennen signed-überlauf in C/C++

Auf den ersten Blick, diese Frage mag wie eine Kopie der Wie zu erkennen integer-überlauf?, aber es ist tatsächlich deutlich anders.

Habe ich gefunden, dass während der Erkennung eine vorzeichenlose integer-überlauf ist ziemlich trivial, das erkennen einer unterzeichnet überlauf in C/C++ ist eigentlich schwieriger, als die meisten Leute denken.

Den meisten offensichtlich, doch naiv, so zu tun, es wäre so etwas wie:

int add(int lhs, int rhs)
{
 int sum = lhs + rhs;
 if ((lhs >= 0 && sum < rhs) || (lhs < 0 && sum > rhs)) {
  /* an overflow has occurred */
  abort();
 }
 return sum; 
}

Das problem mit diesem ist, dass nach dem C-standard, Ganzzahl-überlauf ist Undefiniertes Verhalten. In anderen Worten, gemäß der Norm, sobald Sie selbst die Ursache unterzeichnet überlauf, Ihr Programm ist genauso hinfällig, wie wenn Sie dereferenziert einen null-Zeiger. Man kann also nicht die Ursache zu undefiniertem Verhalten, und versuchen Sie dann zu erkennen, den überlauf nach der Tat, wie in der oben genannten post-condition check Beispiel.

Obwohl die obige Prüfung ist wahrscheinlich zu arbeiten auf viele Compiler können Sie nicht rechnen. In der Tat, da der C-standard sagt signed integer overflow nicht definiert ist, sind einige Compiler (z.B. GCC) wird optimieren Sie Weg, die obige Prüfung wenn Optimierungs-flags gesetzt sind, da der compiler davon eine signiert überlauf ist unmöglich. Diese völlig unterbricht den Versuch, zu prüfen, für überlauf.

So, eine andere Möglichkeit zu prüfen, für überlauf wäre:

int add(int lhs, int rhs)
{
 if (lhs >= 0 && rhs >= 0) {
  if (INT_MAX - lhs <= rhs) {
   /* overflow has occurred */
   abort();
  }
 }
 else if (lhs < 0 && rhs < 0) {
  if (lhs <= INT_MIN - rhs) {
   /* overflow has occurred */
   abort();
  }
 }

 return lhs + rhs;
}

Dieser scheint vielversprechend, da wir eigentlich nicht hinzuzufügen, die zwei Ganzzahlen miteinander, bis wir stellen Sie im Voraus sicher, dass die Durchführung solch einer Beurteilung führt nicht zum überlaufen. Also, wir führen nicht irgendwelche undefinierten Verhalten.

Jedoch, diese Lösung ist leider sehr viel weniger effizient als die erste Lösung, da Sie zum durchführen einer subtract-operation, nur um zu testen, ob die addition funktioniert. Und selbst wenn Sie don ' T care über diese (kleinen) Leistungseinbruch, ich bin noch nicht ganz überzeugt, dass diese Lösung ausreichend ist. Der Ausdruck lhs <= INT_MIN - rhs scheint, genau wie die Art von Ausdruck, der compiler kann optimieren entfernt werden, zu denken, dass signed-überlauf ist unmöglich.

So gibt es eine bessere Lösung? Etwas, das garantiert wird, um 1) führen nicht zu undefiniertem Verhalten, und 2) nicht die compiler die Möglichkeit zur Optimierung entfernt überlauf überprüft? Ich dachte vielleicht gibt es einen Weg, es zu tun, indem man beide Operanden in unsigned und die Durchführung von Kontrollen durch Ihre eigenen Rollen zweier-Komplement-Arithmetik, aber ich bin mir nicht wirklich sicher, wie das zu tun.

Dann lieber der Versuch zu erkennen, ist es nicht besser, Verfolgung, code zu schreiben, die nicht die Möglichkeit haben, den überlauf?
Es ist wirklich schwer zu nehmen Kalkulationen und gewährleisten, dass Sie nicht überlaufen, und es ist unmöglich zu beweisen, der Allgemeine Fall. Die übliche Praxis ist die Verwendung als breit ein integer-Typ, wie möglich und hoffen.
Die Dereferenzierung eines null-Zeiger ist ebenso undefiniert wie signed-überlauf. Undefiniertes Verhalten bedeutet, dass, so weit wie die Standard geht, kann alles passieren. Man kann nicht davon ausgehen, dass das system nicht in einen unwirksamen und instabilen Zustand nach Unterzeichnung überlauf. Der OP wies darauf hin, eine Folge davon: es ist völlig legal für den optimizer zu entfernen-code erkennt, unterzeichnet überlauf, sobald es passiert.
Habe ich erwähnt wie eine Implementierung. GCC wird entfernen die overflow-check-code, wenn Optimierungs-flags gesetzt sind. So wird es im Grunde brechen Sie Ihr Programm. Dies ist wohl schlimmer als einen null-Zeiger zu dereferenzieren, da es führen kann, subtile Sicherheitslücken in der Erwägung, dass die Dereferenzierung eines null-wahrscheinlich gerade unverblümt verpasste Ihr Programm mit einem segfault.
Ich habe sicherlich scheinen Implementierungen, in denen, je nach compiler-Einstellungen, überlauf verursachen würde, eine Falle. Es wäre schön, wenn Sprachen darf man angeben, ob auf bestimmte unsigned Variablen oder Mengen sollte (1) wickeln Sie sauber, (2) Fehler, oder (3) tun, was ist bequem. Beachten Sie, dass, wenn eine variable kleiner ist als eine Maschine, die register Größe, die verlangt, dass nicht signierte Mengen sauber wickeln kann verhindern, dass die Erzeugung optimaler code.

InformationsquelleAutor Channel72 | 2010-10-15

  1. 23

    Ihren Ansatz mit der Subtraktion ist richtig und gut definiert. Ein compiler nicht optimieren Sie Weg.

    Anderen die richtige Vorgehensweise, wenn Sie eine größere integer-Typ zur Verfügung, um die arithmetische Operationen ausführen, die in den größeren Typ und überprüfen Sie, dass das Ergebnis passt in der kleineren Art, wenn Sie zu konvertieren zurück

    int sum(int a, int b)
{
    long long c;
    assert(LLONG_MAX>INT_MAX);
    c = (long long)a + b;
    if (c < INT_MIN || c > INT_MAX) abort();
    return c;
}

    Einen guten compiler konvertiert die gesamten neben-und if Anweisung in einen int-size-Zusatz und ein einziger bedingter Sprung-auf-überlauf und eigentlich nie führen Sie die größere neben.

    Edit: Als Stephen darauf hingewiesen, ich habe Mühe, eine (nicht so gute) compiler gcc, die zum erzeugen der sane asm. Den code den es generiert, ist das nicht furchtbar langsam, aber sicher suboptimal. Wenn jemand weiß, Varianten dieses Codes, die Sie erhalten, gcc, das richtige zu tun, ich würde lieben, Sie zu sehen.

    Alle, die dies zu nutzen, wenn Sie sicher sind, ein Blick auf meine bearbeitete version. Im original habe ich dummerweise ausgelassen den cast zu long long vor der Zugabe.
    Aus Neugier, haben Sie erfolgreich waren, bekommen Sie einen compiler diese Optimierung? Ein kurzer test vor ein paar Compiler wiederum nicht jede, die es tun könnten.
    Auf x86_64, es gibt nichts, ineffizient, über die Verwendung von 32-bit-Ganzzahlen. Leistung ist identisch mit der 64-bit Variante. Eine motivation für die Verwendung von kleiner-als-native-word-size-Typen ist, dass es äußerst effizient zu handhaben überlauf Bedingungen oder tragen (für eine beliebige Präzision der Arithmetik), da der überlauf/carry geschieht in einem direkt zugänglichen Ort.
    Nein, die Subtraktion-code, den der OP gab ist nicht richtig, siehe meine Antwort. Ich gebe auch einen code gibt, macht es einfach mit zwei Vergleiche. Vielleicht ist der Compiler besser machen wird.
    Dieser Ansatz funktioniert nicht, in der ungewöhnliche Plattform wo sizeof(long long) == sizeof(int). C gibt nur an, dass sizeof(long long) >= sizeof(int).

    InformationsquelleAutor R..

  2. 34

    Nein, dein 2. code ist nicht korrekt, aber Sie sind in der Nähe: wenn Sie 

    int half = INT_MAX/2;
int half1 = half + 1;

    das Ergebnis einer addition ist INT_MAX. (INT_MAX ist immer eine ungerade Zahl). Das ist also eine gültige Eingabe. Aber in Ihrer routine haben Sie INT_MAX - half == half1 und Sie würde Abbrechen. Ein false positive ist.

    Dieser Fehler kann repariert werden, indem < statt <= in beiden Prüfungen.

    Aber dann auch dein code ist nicht optimal. Die folgenden tun würde:

    int add(int lhs, int rhs)
{
 if (lhs >= 0) {
  if (INT_MAX - lhs < rhs) {
   /* would overflow */
   abort();
  }
 }
 else {
  if (rhs < INT_MIN - lhs) {
   /* would overflow */
   abort();
  }
 }
 return lhs + rhs;
}

    Zu sehen, dass diese gültig ist, müssen Sie symbolisch hinzufügen lhs auf beiden Seiten der Ungleichungen, und das gibt Ihnen genau die arithmetischen Bedingungen, die Ihr Ergebnis ist außerhalb des gültigen Bereichs.

    +1 für die beste Antwort. Minor: schlagen Sie /* overflow will occurred */ zu betonen, dass der springende Punkt ist, zu erkennen, wenn überlauf aufgetreten wären, wenn der code hat lhs + rhs ohne dabei wirklich die Summe.

    InformationsquelleAutor Jens Gustedt

  3. 16

    IMHO, die eastiest Umgang mit überlauf sentsitive C++ - code ist die Verwendung SafeInt<T>. Dies ist ein cross-Plattform C++ - template-gehostet-code plex, die für die Sicherheit garantiert, dass Sie den Wunsch hier.

    Ich finde es sehr intuitiv zu bedienen, wie es bietet viele der gleichen Nutzungsmuster wie normale numerische opertations und drückt über und unter fließt über Ausnahmen.

    InformationsquelleAutor JaredPar

  4. 13

    Für die gcc Fall von gcc 5.0 Release notes können wir sehen, es bietet jetzt eine __builtin_add_overflow für die überprüfung von überlauf zusätzlich:

    Einen neuen Satz von built-in Funktionen für die Arithmetik mit überlauf-Kontrolle wurde Hinzugefügt: __builtin_add_überlauf __builtin_sub_überlauf __builtin_mul_overflow und die Kompatibilität mit clang auch andere Varianten. Diese gelieferten zwei Integrale Argumente (die nicht brauchen, um die gleiche Art), die Argumente erweitert werden, um unendliche Genauigkeit unterzeichnet-Typ, +, - oder * wird durchgeführt, und das Ergebnis wird gespeichert, in einer integer-variable wies auf die durch das Letzte argument. Wenn der gespeicherte Wert ist gleich der unendlichen Präzision führen, die built-in Funktionen false zurück, andernfalls true. Der Typ der integer-variable, die halten wird das Ergebnis anders sein kann, als die Arten der ersten beiden Argumente.

    Beispiel:

    __builtin_add_overflow( rhs, lhs, &result )

    Können wir sehen, aus den gcc-Dokument Built-in-Funktionen zum Durchführen von Arithmetischen mit Überlauf Prüfen:

    [...]diese built-in-Funktionen vollständig definiert Verhalten für alle argument-Werte.

    clang bietet auch eine Reihe von geprüft arithmetische gelieferten:

    Clang bietet eine Reihe von gelieferten, die Umsetzung überprüft Arithmetik für Sicherheits-kritische Anwendungen in einer Weise, die schnell und einfach expressable in C.

    in diesem Fall die builtin wäre:

    __builtin_sadd_overflow( rhs, lhs, &result )
    In dieser Funktion erscheint sehr nützlich, außer für eine Sache: int result; __builtin_add_overflow(INT_MAX, 1, &result); nicht explizit sagen, was gespeichert wird, in result auf überlauf und leider ist ruhig auf die Angabe von Undefiniertes Verhalten ist nicht auftreten. Sicherlich, dass war der Vorsatz - keine UB. Besser, wenn es angegeben ist.
    guter Punkt, es heißt hier das Ergebnis ist immer definiert, ich aktualisierte meine Antwort. Es wäre ziemlich ironisch, wenn das nicht der Fall war.
    Interessant ist die neue Referenz für keinen (unsigned) long long *result für __builtin_(s/u)addll_overflow. Sicherlich sind diese Fehler. Macht ein Wunder, als um die Wahrhaftigkeit des anderen Aspekten. IAC, gut zu sehen, diese __builtin_add/sub/mull_overflow(). Hoffe, dass Sie es bis in die C-spec irgendwann.
    +1 dies erzeugt viel bessere Montage als alles, was Sie bekommen konnte in standard-C, zumindest nicht, ohne sich auf Ihre compiler-Optimierer, um herauszufinden, was Sie tun. Man sollte erkennen, wenn eine solche gelieferten verfügbar sind und verwenden Sie nur eine standard-Lösung, wenn der compiler nicht.

    InformationsquelleAutor Shafik Yaghmour

  5. 10

    Wenn Sie inline-assembler können Sie die overflow-flag. Eine andere Möglichkeit ist, welches Sie verwenden können, eine safeint Datentyp. Ich empfehle, Lesen Sie dieses Papier auf Integer-Sicherheit.

    +1 Dies ist ein weiterer Weg, zu sagen: "Wenn C nicht definieren, dann bist du gezwungen in Plattform-spezifische Verhalten." So viele Dinge, die einfach erledigt in der Montage sind undefiniert in C, die Schaffung Berge aus maulwurfshügeln im Namen der Portabilität.
    Ich gab ein downvote für ein asm-Antwort auf eine C-Frage. Wie ich schon sagte, es gibt richtige, tragbare Möglichkeiten, um das Kontrollkästchen schreiben in C generiert, die genau die gleiche asm, dass Sie mit der hand Schreibe. Natürlich, wenn Sie diese verwenden, die Auswirkungen auf die Leistung werden die gleichen sein, und es wird viel weniger Einfluss als die C++ safeint Sachen, die Sie auch empfohlen.
    Wenn Sie code schreiben, die nur auf einer Implementierung und Umsetzung garantiert, dass etwas funktioniert, und Sie brauchen eine gute integer-performance, natürlich können Sie die Umsetzung-konkrete tricks. Das ist nicht das, was der OP gefragt wurde, aber.
    C unterscheidet sich von der Implementierung definiert Verhalten und Undefiniertes Verhalten aus guten Gründen, und selbst wenn etwas mit UB "Werke" in die aktuelle version Ihrer Umsetzung, das bedeutet nicht, es wird weiterhin in zukünftigen Versionen funktionieren wird. Betrachten gcc und unterzeichnet überlauf...
    Da ich basiert meine -1 auf einen Anspruch, den wir bekommen konnten C-code zu erzeugen, der identisch asm, ich denke es ist nur fair zu widerrufen, wenn alle wichtigen Compiler erweisen junk in dieser Hinsicht..

    InformationsquelleAutor rook

  6. 5

    Schnellste Möglichkeit ist die Verwendung der GCC-builtin:

    int add(int lhs, int rhs) {
    int sum;
    if (__builtin_add_overflow(lhs, rhs, &sum))
        abort();
    return sum;
}

    Auf x86 mit GCC kompiliert diese in:

        mov %edi, %eax
    add %esi, %eax
    jo call_abort 
    ret
call_abort:
    call abort

    verwendet der Prozessor integrierten überlauf-Erkennung.

    Wenn Sie nicht OK mit der Verwendung von GCC gelieferten, der nächste Schnellste Weg ist, um bit-Operationen auf die Zeichen-bits. Unterzeichnet überlauf zusätzlich tritt auf, wenn:

    • die zwei Operanden haben gleiche Vorzeichen, und
    • das Ergebnis hat ein anderes Vorzeichen als die Operanden.

    Dem Vorzeichen-bit des ~(lhs ^ rhs) ist auf dem iff die Operanden das gleiche Vorzeichen, und das Vorzeichen-bit der lhs ^ sum ist am iff das Ergebnis hat ein anderes Vorzeichen als die Operanden. So kann man den Zusatz in unsignierter form zu vermeiden, zu undefiniertem Verhalten, und verwenden Sie dann das Vorzeichen-bit der ~(lhs ^ rhs) & (lhs ^ sum):

    int add(int lhs, int rhs) {
    unsigned sum = (unsigned) lhs + (unsigned) rhs;
    if ((~(lhs ^ rhs) & (lhs ^ sum)) & 0x80000000)
        abort();
    return (int) sum;
}

    Diese kompiliert in:

        lea (%rsi,%rdi), %eax
    xor %edi, %esi
    not %esi
    xor %eax, %edi
    test %edi, %esi
    js call_abort
    ret
call_abort:
    call abort

    das ist ziemlich viel schneller als die Umwandlung einer 64-bit-geben Sie auf einem 32-bit-Maschine (mit gcc):

        push %ebx
    mov 12(%esp), %ecx
    mov 8(%esp), %eax
    mov %ecx, %ebx
    sar $31, %ebx
    clt
    add %ecx, %eax
    adc %ebx, %edx
    mov %eax, %ecx
    add $-2147483648, %ecx
    mov %edx, %ebx
    adc $0, %ebx
    cmp $0, %ebx
    ja call_abort
    pop %ebx
    ret
call_abort:
    call abort

    InformationsquelleAutor tbodt

  7. 2

    Wie etwa:

    int sum(int n1, int n2)
{
  int result;
  if (n1 >= 0)
  {
    result = (n1 - INT_MAX)+n2; /* Can't overflow */
    if (result > 0) return INT_MAX; else return (result + INT_MAX);
  }
  else
  {
    result = (n1 - INT_MIN)+n2; /* Can't overflow */
    if (0 > result) return INT_MIN; else return (result + INT_MIN);
  }
}

    Ich denke, dass sollte funktionieren für legitim INT_MIN und INT_MAX (symmetrisch oder nicht); die Funktion wie clips, aber es sollte offensichtlich sein, wie man andere Verhaltensweisen).

    +1 für nette alternativen Ansatz, der vielleicht mehr intuitiv.
    Ich denke, dass diese - result = (n1 - INT_MAX)+n2; - könnte überlaufen, wenn n1 kleiner war (sagen wir mal 0) und n2 negativ war.
    Hmm... vielleicht ist es notwendig, zu brechen, aus drei Fällen: beginnen Sie mit einer für (n1 ^ n2) < 0, die auf einem zweier-Komplement-Maschine würde bedeuten, dass die Werte haben entgegengesetzte Vorzeichen und kann direkt aufgenommen werden. Wenn die Werte haben das gleiche Vorzeichen, dann ist der Ansatz oben gegeben wäre sicher. Auf der anderen Seite, ich bin gespannt, ob die Autoren der Norm zu erwarten, dass Implementierungen für zweier-Komplement-silent-overflow-hardware würde den Sprung über die Schienen im Falle von überlauf in einer Weise, die nicht die Kraft eine unmittelbare Abnormale Beendigung des Programms, sondern verursacht unvorhersehbare Störungen von anderen Berechnungen.

    InformationsquelleAutor supercat

  8. 1

    Haben Sie vielleicht mehr Glück umwandeln zu 64-bit-Ganzzahlen und Tests zu ähnlichen Bedingungen wie die. Zum Beispiel:

    #include <stdint.h>

...

int64_t sum = (int64_t)lhs + (int64_t)rhs;
if (sum < INT_MIN || sum > INT_MAX) {
    //Overflow occurred!
}
else {
    return sum;
}

    Möchten Sie vielleicht, um einen genaueren Blick auf, wie Zeichen-Erweiterung, die hier arbeiten, aber ich denke, es ist richtig.

    Entfernen Sie die bitweise und-Verknüpfung und Darsteller aus der return-Anweisung. Sie sind falsch geschrieben. Konvertierung von größeren Ganzzahl-Typen, um kleinere ist ganz genau definiert, solange der Wert passt in den kleineren geben, und es braucht nicht einen expliziten cast. Jeder compiler gibt eine Warnung und schlägt vor, dass Sie hinzufügen eine Besetzung, wenn Sie gerade überprüft, dass der Wert nicht überlaufen ist gebrochen compiler.
    Sie sind richtig, dass ich einfach so explizit über meine casts. Ich werde es ändern für die Richtigkeit, obwohl. Für zukünftige Leser, die return-Zeile Lesen return (int32_t)(sum & 0xffffffff);.
    Beachten Sie, dass wenn Sie schreiben sum & 0xffffffff, sum implizit in Typ unsigned int (vorausgesetzt, die 32-bit -int), weil 0xffffffff Typ unsigned int. Dann wird das Ergebnis des bitweisen und ist ein unsigned int, und wenn sum negativ war, wird es sein, die außerhalb des Bereichs von Werten, unterstützt durch int32_t. Die Umstellung auf int32_t dann hat implementierungsspezifische Verhalten.

    InformationsquelleAutor Jonathan

  9. 0

    Mir das einfachste zu überprüfen wäre, überprüfen Sie die Zeichen der Operanden und die Ergebnisse.

    Betrachten wir die Summe: der überlauf, der auftreten konnte, in beide Richtungen, + oder -, nur dann, wenn beide Operanden das gleiche Vorzeichen. Und, obviosly, der überlauf sein wird, wenn das Vorzeichen des Ergebnisses ist nicht das gleiche wie das Vorzeichen des Operanden.

    So, schauen wie das wird genug sein:

    int a, b, sum;
sum = a + b;
if  (((a ^ ~b) & (a ^ sum)) & 0x80000000)
    detect_oveflow();

    Edit: wie Nils vorgeschlagen, das ist das richtige if Zustand:

    ((((unsigned int)a ^ ~(unsigned int)b) & ((unsigned int)a ^ (unsigned int)sum)) & 0x80000000)

    Und seit Wann wird der Unterricht 

    add eax, ebx

    führt zu undefiniertem Verhalten? Es gibt keine solche Sache in der Intel x86-Befehlssatz refference..

    Sie ' re fehlt den Punkt hier. Die zweite Zeile des code sum = a + b könnten Ertrag zu undefiniertem Verhalten.
    wenn Sie die Umwandlung Summe a und b unsigned während Ihres test-neben Ihren code funktioniert btw..
    Es ist undefiniert, nicht weil das Programm abstürzt oder sich anders verhält. Es ist die genaue Sache, der Prozessor ist zu tun, um zu berechnen, Flagge. Der standard ist nur ein Versuch, um sich zu schützen, die von nicht-standard-Fällen, aber es bedeutet nicht, dass Sie nicht erlaubt, dies zu tun.
    ja, ich wollte das tun, aber ich dachte, dass vier (usngined int)s wird es viel mehr unlesbar. (Sie wissen, Sie zuerst Lesen es, und versuchen Sie es nur, wenn es Euch gefallen hat).
    das Undefinierte Verhalten ist in C, die nicht nach dem kompilieren der Montage

    InformationsquelleAutor ruslik

  10. 0

    Ist die offensichtliche Lösung ist die Konvertierung zu unsigned, um die gut definierten unsigned overflow-Verhalten:

    int add(int lhs, int rhs) 
{ 
   int sum = (unsigned)lhs + (unsigned)rhs; 
   if ((lhs >= 0 && sum < rhs) || (lhs < 0 && sum > rhs)) { 
      /* an overflow has occurred */ 
      abort(); 
   } 
   return sum;  
}

    Dieser ersetzt den unbestimmten signed overflow-Verhalten mit der Implementierung definierte Umwandlung von out-of-range-Werte zwischen signed und unsigned, so müssen Sie überprüfen Ihre compiler-Dokumentation genau zu wissen, was passieren wird, aber es sollte zumindest definiert werden, und sollte das richtige tun, auf jede zweier-Komplement-Maschine, die nicht erhöhen Signale auf conversions, die so ziemlich jede Maschine und C-compiler gebaut, der in den letzten 20 Jahren.

    Du bist immer noch speichern das Ergebnis in sum, die eine int. Das ergibt entweder eine von der Implementierung definierte Ergebnis oder eine von der Implementierung definierte signal wird ausgelöst, wenn der Wert der (unsigned)lhs + (unsigned)rhs größer ist als INT_MAX.
    das ist der springende Punkt-das Verhalten wird durch die Implementierung definiert, sondern als undefiniert, so dass die Umsetzung auch zu dokumentieren, was es tut, und tun es konsequent. Ein signal kann nur erhöht werden, wenn die Umsetzung dokumentiert, in welchem Fall es muss immer erhoben werden und die Sie verwenden können, Verhalten.

    InformationsquelleAutor Chris Dodd

  11. 0

    Im Falle der Zugabe von zwei long Werte, portablen code aufteilen können, die long - Wert in low und high int Teile (oder in short Teile im Falle long hat die gleiche Größe wie int):

    static_assert(sizeof(long) == 2*sizeof(int), "");
long a, b;
int ai[2] = {int(a), int(a >> (8*sizeof(int)))};
int bi[2] = {int(b), int(b >> (8*sizeof(int))});
... use the 'long' type to add the elements of 'ai' and 'bi'

    Verwendung von inline-assembly ist der Schnellste Weg, wenn ein bestimmtes targeting CPU:

    long a, b;
bool overflow;
#ifdef __amd64__
    asm (
        "addq %2, %0; seto %1"
        : "+r" (a), "=ro" (overflow)
        : "ro" (b)
    );
#else
    #error "unsupported CPU"
#endif
if(overflow) ...
//The result is stored in variable 'a'

    InformationsquelleAutor atomsymbol

  12. -1

    Ich denke, dass das funktioniert:

    int add(int lhs, int rhs) {
   volatile int sum = lhs + rhs;
   if (lhs != (sum - rhs) ) {
       /* overflow */
       //errno = ERANGE;
       abort();
   }
   return sum;
}

    Verwendung von volatile hält der compiler die Optimierung Weg, der test, weil es denkt, dass sum geändert haben kann, zwischen der addition und der Subtraktion.

    Mit gcc 4.4.3 für x86_64 die Montage dieser code macht die addition, die Subtraktion und den test, aber es speichert alles auf dem stack und nicht mehr benötigte stack-Operationen. Ich habe sogar versucht register volatile int sum = aber die Montage war die gleiche.

    Für eine version mit nur int sum = (keine flüchtigen oder register) die Funktion nicht testen und habe den Zusatz mit nur einem lea Unterricht (lea Laden Effektive Adresse und wird oft verwendet, um zu tun, zudem ohne Berührung des flags-Registers).

    Ihre version ist größer-code und hat viel mehr Sprünge, aber ich weiß nicht, was wäre besser.

    -1 für den Missbrauch von volatile Maske zu undefiniertem Verhalten. Wenn es "funktioniert", Sie sind immer noch nur "immer Glück".
    Wenn es nicht funktioniert der compiler nicht die Umsetzung volatile richtig. Alles was ich versuchte, war eine einfachere Lösung für ein sehr häufiges problem bei einer bereits beantworteten Frage.
    Wo könnte es scheitern, obwohl, wäre ein system, dessen numerische Darstellung wickeln zu niedrigeren Werten bei Pufferüberlauf für Ganzzahlen.
    Das Letzte Kommentar sollte ein "nicht" oder "gar nicht".
    Ihre Behauptung, dass "wenn es nicht funktioniert der compiler nicht die Umsetzung volatile-korrekt" ist falsch. Für eine Sache, die in Zweierkomplement-Arithmetik, es wird immer wahr sein, dass lhs = Summe - rhs, auch wenn überlauf aufgetreten. Selbst wenn das nicht der Fall, und zwar in diesem bestimmten Beispiel ist ein bisschen konstruiert, der compiler könnte beispielsweise code generieren führt, die zudem speichert das Ergebnis Wert ist, liest den Wert wieder in ein anderes register, vergleicht den gespeicherten Wert mit dem Wert Lesen und bemerkt, dass Sie identisch sind und übernehmen daher auch keine überlauf aufgetreten ist.

    InformationsquelleAutor nategoose

Schreibe einen Kommentar