Я не настільки добре обізнаний із стандартом С, тож будьте ласкаві.
Я хотів би знати, чи гарантовано це, за стандартом, memcpy(0,0,0)безпечно.
Єдине обмеження, яке я міг знайти, полягає в тому, що якщо області пам'яті перекриваються, тоді поведінка невизначена ...
Але чи можна вважати, що області пам'яті тут перекриваються?
memcpy(0,0,0)це одна з найдивніших частин коду С, яку я бачив.
memcpy(outp, inp, len),? І що це може відбуватися в коді, де outpі inpдинамічно розподіляються і спочатку 0? Це працює, наприклад, з тим, p = realloc(p, len+n)коли pі lenє 0. Я сам використовував такий memcpyдзвінок - хоча це технічно UB, я ніколи не стикався з реалізацією, коли це не є забороною, і ніколи цього не очікував.
memcpy(0, 0, 0), швидше за все, призначений для представлення динамічного, а не статичного виклику ... тобто ці значення параметрів не повинні бути літералами.
Відповіді:
У мене є чорновий варіант стандарту С (ISO / IEC 9899: 1999), і я маю кілька цікавих речей сказати про цей дзвінок. Для початку він згадує (§7.21.1 / 2) щодо memcpyцього
Якщо аргумент, оголошений як
size_tn, визначає довжину масиву для функції, n може мати значення нуля при виклику цієї функції. Якщо прямо не зазначено інше в описі певної функції в цьому підпункті, аргументи вказівника для такого виклику все одно повинні мати допустимі значення, як описано в 7.1.4 . При такому виклику функція, яка знаходить символ, не знаходить входження, функція, яка порівнює дві послідовності символів, повертає нуль, а функція, яка копіює символи, копіює нуль символів.
Посилання, вказане тут, вказує на це:
Якщо аргумент функції має недійсне значення (наприклад, значення поза доменом функції, або вказівник поза адресним простором програми, або нульовий вказівник , або вказівник на не модифікується сховище, коли відповідний параметр не підпадає під const) або тип (після просування), який не очікується функцією із змінною кількістю аргументів, поведінка невизначена .
Отже, це виглядає згідно із специфікацією C, дзвінок
memcpy(0, 0, 0)
призводить до невизначеної поведінки, оскільки нульові вказівники вважаються "недійсними значеннями".
Тим не менш, я був би здивований, якщо будь-яка фактична реалізація memcpyзламалася, якщо ви зробите це, оскільки більшість інтуїтивних реалізацій, які я можу придумати, взагалі нічого не зробили б, якщо б ви сказали скопіювати нульові байти.
realloc(0, 0). Варіанти використання подібні, і я використовував їх обидва (див. Мій коментар до запитання). Безглуздо і прикро, що Стандарт робить цей УБ.
Для розваги примітки до випуску для gcc-4.9 вказують на те, що його оптимізатор використовує ці правила, і, наприклад, може видалити умовне в
int copy (int* dest, int* src, size_t nbytes) {
memmove (dest, src, nbytes);
if (src != NULL)
return *src;
return 0;
}
який потім дає несподівані результати при copy(0,0,0)виклику (див. https://gcc.gnu.org/gcc-4.9/porting_to.html ).
Я дещо неоднозначно ставлюся до поведінки gcc-4.9; поведінка може відповідати стандартам, але можливість викликати memmove (0,0,0) іноді є корисним розширенням цих стандартів.
char *p = 0; int i=something;, оцінка виразу (p+i)дасть невизначену поведінку, навіть коли iдорівнює нулю.
memcpy()слід дозволяти виконувати будь-яку арифметику покажчика на своїх аргументах перед забезпеченням ненульового підрахунку - це інше питання [якби я розробляв стандарти, я б, мабуть, зазначив, що якщо pзначення null p+0може перехоплювати, але memcpy(p,p,0)нічого не робитиме]. Набагато більшою проблемою, IMHO, є відкритість більшості невизначеної поведінки. Хоча є деякі речі, які насправді повинні представляти невизначену поведінку (наприклад, дзвінок free(p)...
p[0]=1;) є багато речей, які слід вказати як такі, що дають невизначений результат (наприклад, реляційне порівняння між непов’язаними покажчиками не повинно вказуватися як таке, що узгоджується з будь-яким іншим порівнянням, але повинно бути вказано як таке, що дає або 0 або 1), або має бути вказано як поведінка, яка є дещо вільнішою, ніж визначена реалізацією (від компіляторів слід вимагати, щоб задокументувати всі можливі наслідки, наприклад, переповнення цілого числа, але не вказувати, які наслідки можуть мати місце в будь-якому конкретному випадку).
Ви також можете врахувати це використання, яке memmoveвидно в Git 2.14.x (Q3 2017)
Див. Коміт 168e635 (16 липня 2017 р.) Та коміт 1773664 , коміт f331ab9 , коміт 5783980 (15 липня 2017 р.) Рене Шарф ( rscharfe) .
(Об’єднано Junio C Hamano - gitster- у комітеті 32f9025 , 11 серпня 2017 р.)
Він використовує допоміжний макрос,MOVE_ARRAY який обчислює розмір на основі вказаної для нас кількості елементів і підтримує NULL
покажчики, коли це число дорівнює нулю.
Сирі memmove(3)дзвінки з NULLможуть змусити компілятор (надто охоче) оптимізувати подальші NULLперевірки.
MOVE_ARRAYдодає безпечний та зручний помічник для переміщення потенційно перекриваються діапазонів записів масиву.
Він визначає розмір елемента, множиться автоматично і безпечно, щоб отримати розмір у байтах, робить базову перевірку безпеки типу, порівнюючи розміри елементів, і на відміну відmemmove(3)підтримуєNULLпокажчики, якщо 0 елементів потрібно перемістити.
#define MOVE_ARRAY(dst, src, n) move_array((dst), (src), (n), sizeof(*(dst)) + \
BUILD_ASSERT_OR_ZERO(sizeof(*(dst)) == sizeof(*(src))))
static inline void move_array(void *dst, const void *src, size_t n, size_t size)
{
if (n)
memmove(dst, src, st_mult(size, n));
}
Приклади :
- memmove(dst, src, (n) * sizeof(*dst));
+ MOVE_ARRAY(dst, src, n);
Він використовує макрос,BUILD_ASSERT_OR_ZERO який стверджує залежність часу побудови, як вираз (при @condцьому умова часу компіляції повинна бути істинною).
Компіляція не вдасться, якщо умова не відповідає дійсності або компілятор не може оцінити.
#define BUILD_ASSERT_OR_ZERO(cond) \
(sizeof(char [1 - 2*!(cond)]) - 1)
Приклад:
#define foo_to_char(foo) \
((char *)(foo) \
+ BUILD_ASSERT_OR_ZERO(offsetof(struct foo, string) == 0))
Ні, memcpy(0,0,0)це не безпечно. Стандартна бібліотека, швидше за все, не дасть збою під час цього дзвінка. Однак у середовищі тестування в memcpy () може бути присутній додатковий код для виявлення перевитрат буфера та інших проблем. І те, як ця спеціальна версія memcpy () реагує на покажчики NULL, точно не визначено.