Безопасно выбрасывайте void * в int

Question

Безопасно выбрасывайте void * в int

0

Если приложение скомпилировано для получения изображения x32, то в зависимости от типа целочисленного типа архитектура может иметь ширину 16 бит, ширину 32 или более бит или что-то большее, чем 2 байта. Размер void* будет 4 (на x32 всегда 4???). Это означало бы, что передача int в void* прекрасна, но если окажется, что на данной архитектуре void* шире, чем int (который гарантируется, по стандарту, как минимум, 2 байта), чем перед

C Стандарт n1124 § 6.3.2.3 Указатели

5 Целое число может быть преобразовано в любой тип указателя. За исключением, как указано ранее, результат определяется реализацией, может быть неправильно выровнен, может не указывать на объект ссылочного типа и может быть ловушкой. 56)

6 Любой тип указателя может быть преобразован в целочисленный тип. За исключением случаев, указанных ранее, результат определяется реализацией. Если результат не может быть представлен в целочисленном типе, поведение не определено. Результат не обязательно должен находиться в диапазоне значений любого целочисленного типа.

casting void* to int может приводить к неопределенному поведению в следующем фрагменте.

typedef enum tagENUM
{
    WSO_1,
    WSO_2,
    //...
    WSO_COUNT
} ENUM;

/* I cannot change handler signature because this is callback. I have to cast void*
 * to ENUM however inside */
void handler( int i, int j, void *user_data)
{
    ENUM mOperation;
    mOperation = (ENUM)reinterpret_cast<int>(user_data);
}

// somewhere
handler( 1, 2, (void*)WSO_1);  // UB? We can imagine that someone passes to handler
                               // (void*)WSO_131072 which don't fit into 16 bits
                               // So is there a place opened for UB?

Если это правильно, то открыта возможность для носовых деамонов - как я могу тогда написать эти данные безопасно? Могу ли я использовать intptr_t чтобы убедиться, что результат будет соответствовать?

void handler( int i, int j, void *user_data)
{
    ENUM mOperation;

uintptr_t p_mOperation = reinterpret_cast<uintptr_t>( user_data);

if ( p_mOperation > WSO_COUNT ) {
    send_error(conn, 500, http_500_error, "Error: %s", strerror(ERRNO));
    return;
}

mOperation = static_cast<ENUM_WS_OPERATION>( p_mOperation);  // now safe?

4pie0 07 нояб. 2014, в 12:12

Источник

0

Параметры void* не предназначены для прямой передачи данных. Просто передайте адрес целых чисел вместо значения, и все в порядке. То, что вы пытаетесь, никогда не будет работать должным образом и является основной причиной медленного внедрения 64-битных систем в мире x86.
filmor 07 нояб. 2014, в 11:05
0

Я знаю, что могу, но мой вопрос о таком случае - есть ли место для UB? Я должен предположить, что кто-то мог пройти НИЧЕГО за пустотой * - как мне предотвратить UB?
4pie0 07 нояб. 2014, в 11:07
0

цитируемая часть ясно говорит, что ее реализация определена .
Karoly Horvath 07 нояб. 2014, в 11:11
0

"Размер void* будет 4 всегда?" Нет, не всегда. Только на платформах с 32-битным адресным пространством памяти.
barak manos 07 нояб. 2014, в 11:13
0

@barakmanos я имел ввиду на х32 всегда будет 4?
4pie0 07 нояб. 2014, в 11:13
2

Ну, в таком случае ответ - да. Обратите внимание, однако, что размер int не гарантируется стандартом C ++ равным 4 (я лично работал с платформами, где он был только 2).
barak manos 07 нояб. 2014, в 11:17
0

да, это то, что вызвало мой вопрос
4pie0 07 нояб. 2014, в 11:18

Показать ещё 5 комментариев

Теги:

c++

casting

int

undefined-behavior

void-pointers

2 ответа

0

Этот бит:

mOperation = (ENUM)reinterpret_cast<int>(user_data);

предлагает вам потерять контроль над тем, что вы делаете. Вы делаете двойной бросок, который всегда свидетельствует о плохих вещах (как если бы reinterpret_cast еще не указывал это).

Из этого не ясно, что вы пытаетесь сделать. Конечно (void *) является неприемлемым броском для передачи значений, которые не являются данными. Это для передачи указателей на произвольные буферы данных, где каждый надеется, что вещь на другом конце может работать из данных, что ей нужно делать с этим.

Итак, это:

handler( 1, 2, (void*)WSO_1);

просто неправильно.

Однако, учитывая, что WSO_1 на самом деле является enum, и я не знаю какой-либо платформы, где void * на самом деле меньше, чем перечисление, вы должны быть в порядке, чтобы сделать

mOperation = reinterpret_cast<ENUM>(user_data);

Клиент уже перешел в сомнительные области, когда он перечислил enum в void *, и этот прилив не ухудшит ситуацию.

Tom Tanner 07 нояб. 2014, в 09:30

0

Это не я! ; Я просто невинная жертва состояния дел и должна как-то с этим справиться. Я знаю, что это безобразно! Кроме того, вы не правы в том, что «учитывая, что WSO_1 на самом деле является перечислением, и я не знаю ни одной платформы, где void * на самом деле меньше, чем перечисление, вы должны быть в порядке» - это на самом деле моя проблема, что void * может быть больше чем ENUM
4pie0 07 нояб. 2014, в 12:14
0

@AB_ У вас есть контроль над handler судя по вопросу
Tom Tanner 07 нояб. 2014, в 12:18
0

Я не могу сменить подпись
4pie0 07 нояб. 2014, в 12:18
0

двойное приведение не требуется подписью.
Tom Tanner 07 нояб. 2014, в 12:20
0

Это не мой код, я знаю, что это неправильно. Это должно быть недействительным *, и я должен привести его к ENUM. Как написать это безопасно, чтобы я мог проверить, действительно ли аргумент void * соответствует ENUM
4pie0 07 нояб. 2014, в 12:22
0

смотри мой ответ. любой, кто передает вашему обработчику что-то, что не является одним из этих значений перечисления, вызывает неопределенное поведение, и они ломаются до того, как попадают к вам. Между прочим, они могли пройти и отрицательное число.
Tom Tanner 07 нояб. 2014, в 12:36
0

Вы неправы. Это не UB, пока вы не попытаетесь привести его к результату, который будет неосуществим
4pie0 07 нояб. 2014, в 12:41
0

они передают вам «хххх», когда вы ожидаете ENUM. Если бы интерфейс был напечатан так, это было бы неопределенным поведением в любом случае. Вы должны использовать inptr_t, но проверить это в диапазоне правильно. Они нарушают договор, если они передают, что это не ENUM, так что вы можете делать то, что вы хотите
Tom Tanner 07 нояб. 2014, в 12:52
0

Дело в том, что даже если они встречают контракт и передают enum, в некоторых реализациях void * шире, чем int, поэтому вы не можете привести void * к int, а reinterpret_cast <ENUM> имеет значение UB
4pie0 07 нояб. 2014, в 13:09
0

это только UB, если enum имеет значения, которые не могут быть помещены в void * (т. е. void * уже int). Если void * шире, чем int, то вы будете выбрасывать нулевые биты, точно так же, как если бы вы приводили intptr_t к перечислению
Tom Tanner 07 нояб. 2014, в 14:09
0

№ C Стандарт n1124 § 6.3.2.3 Указатели «Если результат не может быть представлен целочисленным типом, поведение не определено».
4pie0 07 нояб. 2014, в 14:32
0

насколько большой WSO_COUNT?
Tom Tanner 10 нояб. 2014, в 08:09
0

не имеет значения, но мы должны предположить, что в какой-то момент он может не помещаться в 2 байта
4pie0 10 нояб. 2014, в 09:15
0

TBH Я думаю, что вы все равно обречены, если любое из ваших значений перечисления является представлением ловушки для указателя (хотя стандарт по этому вопросу неясен)
Tom Tanner 10 нояб. 2014, в 10:24
0

да, это тоже может случиться; /
4pie0 10 нояб. 2014, в 10:33

Показать ещё 13 комментариев

Ещё вопросы

Параметры void* не предназначены для прямой передачи данных. Просто передайте адрес целых чисел вместо значения, и все в порядке. То, что вы пытаетесь, никогда не будет работать должным образом и является основной причиной медленного внедрения 64-битных систем в мире x86.
Я знаю, что могу, но мой вопрос о таком случае - есть ли место для UB? Я должен предположить, что кто-то мог пройти НИЧЕГО за пустотой * - как мне предотвратить UB?
цитируемая часть ясно говорит, что ее реализация определена .
"Размер void* будет 4 всегда?" Нет, не всегда. Только на платформах с 32-битным адресным пространством памяти.
@barakmanos я имел ввиду на х32 всегда будет 4?
Ну, в таком случае ответ - да. Обратите внимание, однако, что размер int не гарантируется стандартом C ++ равным 4 (я лично работал с платформами, где он был только 2).
да, это то, что вызвало мой вопрос
Это не я! ; Я просто невинная жертва состояния дел и должна как-то с этим справиться. Я знаю, что это безобразно! Кроме того, вы не правы в том, что «учитывая, что WSO_1 на самом деле является перечислением, и я не знаю ни одной платформы, где void * на самом деле меньше, чем перечисление, вы должны быть в порядке» - это на самом деле моя проблема, что void * может быть больше чем ENUM
@AB_ У вас есть контроль над handler судя по вопросу
двойное приведение не требуется подписью.
Это не мой код, я знаю, что это неправильно. Это должно быть недействительным *, и я должен привести его к ENUM. Как написать это безопасно, чтобы я мог проверить, действительно ли аргумент void * соответствует ENUM
смотри мой ответ. любой, кто передает вашему обработчику что-то, что не является одним из этих значений перечисления, вызывает неопределенное поведение, и они ломаются до того, как попадают к вам. Между прочим, они могли пройти и отрицательное число.
Вы неправы. Это не UB, пока вы не попытаетесь привести его к результату, который будет неосуществим
они передают вам «хххх», когда вы ожидаете ENUM. Если бы интерфейс был напечатан так, это было бы неопределенным поведением в любом случае. Вы должны использовать inptr_t, но проверить это в диапазоне правильно. Они нарушают договор, если они передают, что это не ENUM, так что вы можете делать то, что вы хотите
Дело в том, что даже если они встречают контракт и передают enum, в некоторых реализациях void * шире, чем int, поэтому вы не можете привести void * к int, а reinterpret_cast <ENUM> имеет значение UB
это только UB, если enum имеет значения, которые не могут быть помещены в void * (т. е. void * уже int). Если void * шире, чем int, то вы будете выбрасывать нулевые биты, точно так же, как если бы вы приводили intptr_t к перечислению
№ C Стандарт n1124 § 6.3.2.3 Указатели «Если результат не может быть представлен целочисленным типом, поведение не определено».
не имеет значения, но мы должны предположить, что в какой-то момент он может не помещаться в 2 байта
TBH Я думаю, что вы все равно обречены, если любое из ваших значений перечисления является представлением ловушки для указателя (хотя стандарт по этому вопросу неясен)

M.M · Accepted Answer · 2014-11-07T08-38-00.000Z

Да, это может привести к неопределенному поведению. Если вы используете intptr_t вместо этого, то нет неопределенного поведения.

Однако, как правило, вы можете переписать свой код так, чтобы указатель указывал на предполагаемое целое число, а не на то, чтобы быть направленным на него.

Во втором примере у вас есть мишмаш. Вы хотите использовать либо intptr_t, либо void * который указывает на int. Не intptr_t * или uintptr_t *.

Мое предпочтительное решение заключается в том, что user_data всегда указывает на данные; и тип указываемых данных определяется вызываемым обработчиком или другим параметром.

Извините, мне было неясно. Вы должны использовать intptr_t или uintptr_t в качестве типа параметра для handler . Вы все еще можете заставить UB делать то, что вы есть сейчас (потому что uintptr_t может быть шире диапазона допустимых значений для void * )
Я не могу изменить подпись обработчика, потому что это обратный вызов. Я должен разыграть void * в ENUM, однако внутри. Также, если uintptr_t шире, это нормально. пустота * подойдет к нему
То, что вы разыгрываете в void * может не войти в void * . Если вы не можете изменить функцию, то правильное действие - передать указатель; не делайте reinterpret_cast.