Действительно ли безопасный аккумулятор действительно такой сложный?

Question

Действительно ли безопасный аккумулятор действительно такой сложный?

0

Я пытаюсь написать накопитель, который хорошо себя ведет, учитывая неограниченные входы. Это кажется не тривиальным и требует довольно строгого планирования. Неужели это так сложно?

int naive_accumulator(unsigned int max,
                      unsigned int *accumulator,
                      unsigned int amount) {
    if(*accumulator + amount >= max) {
        return 1; // could overflow
    }

    *accumulator += max; // could overflow

    return 0;
}

int safe_accumulator(unsigned int max,
                     unsigned int *accumulator,
                     unsigned int amount) {
    // if amount >= max, then certainly *accumulator + amount >= max
    if(amount >= max) {
        return 1;
    }

    // based on the comparison above, max - amount is defined
    // but *accumulator + amount might not be
    if(*accumulator >= max - amount) {
        return 1;
    }

    // based on the comparison above, *accumulator + amount is defined
    // and *accumulator + amount < max
    *accumulator += amount;

    return 0;
}

EDIT: я удалил стиль смещения

Martin 20 авг. 2014, в 01:00

Источник

4

«Сложная» версия - это на 1 строку кода больше, чем «простая» версия (если вы использовали те же правила стиля для безопасной, что и для наивной ), это не кажется слишком «сложным» ...
M.M 19 авг. 2014, в 22:19
0

Бросьте исключение (или что-то еще), если разница между накопленным значением и максимумом больше, чем новое значение.
Neil Kirk 19 авг. 2014, в 22:23
0

А) Почему бы не перейти по ссылке вместо использования указателя? и B) Почему бы не использовать или ( || ) и воспользоваться преимуществом короткого замыкания, чтобы сделать safe_accumulator таким же количеством строк, что и naive_accumulator ?
scohe001 19 авг. 2014, в 22:23
0

Переполнение в ЦП указывается одним битом вне фактических регистров. Технически, переполнение проверяется путем выполнения сложения с немного большими регистрами, и вы ничего не можете сказать о результате, пока не проверите бит переполнения. В вашем случае простое продвижение на unsigned long подойдет.
usr2564301 19 авг. 2014, в 22:24
2

@Jongware: хорошо, если только unsigned int и unsigned long имеют одинаковую ширину.
Steve Jessop 19 авг. 2014, в 22:25
1

@Jongware Если unsigned long имеет тот же размер, что и unsigned int.
Neil Kirk 19 авг. 2014, в 22:25
0

Затем, «больший тип, чем unsigned int » :-) Суть в том, что процессор обманывает , используя дополнительный бит. Трудно подражать в простой C без увеличения в размере.
usr2564301 19 авг. 2014, в 22:26
0

@Jongware: C и C ++ не гарантируют, что существует больший тип.
Mooing Duck 19 авг. 2014, в 22:27
0

Хотя у вас были бы большие надежды на unsigned long long , даже это на самом деле не гарантировано. Архитектура, в которой все (возможно, кроме char ) является 64-битной, не так уж неправдоподобна, я подозреваю, что были машины в стиле мэйнфреймов.
Steve Jessop 19 авг. 2014, в 22:29
0

safeint.codeplex.com
Hans Passant 19 авг. 2014, в 22:29
0

Идея № 2: тестирование на числовое переполнение unsigned int или тестирование некоторого (случайного) max ? Первый может (возможно, мне нужно обдумать это) вернуть результат, который меньше, чем один из его входных данных.
usr2564301 19 авг. 2014, в 22:29
0

@Jongware: конечно, вы можете обнаружить переполнение неподписанных типов с помощью (a + b < a) , и когда у вас есть что-то, что работает, это просто вопрос производительности, что вы решите использовать на самом деле.
Steve Jessop 19 авг. 2014, в 22:33
0

Ваш безопасный еще не совсем безопасен. К счастью, у Мэтта был хороший ответ на этот вопрос.
Deduplicator 19 авг. 2014, в 22:37

Показать ещё 11 комментариев

Теги:

c++

c

undefined-behavior

integer-overflow

1 ответ

Ещё вопросы

«Сложная» версия - это на 1 строку кода больше, чем «простая» версия (если вы использовали те же правила стиля для безопасной, что и для наивной ), это не кажется слишком «сложным» ...
Бросьте исключение (или что-то еще), если разница между накопленным значением и максимумом больше, чем новое значение.
А) Почему бы не перейти по ссылке вместо использования указателя? и B) Почему бы не использовать или ( || ) и воспользоваться преимуществом короткого замыкания, чтобы сделать safe_accumulator таким же количеством строк, что и naive_accumulator ?
Переполнение в ЦП указывается одним битом вне фактических регистров. Технически, переполнение проверяется путем выполнения сложения с немного большими регистрами, и вы ничего не можете сказать о результате, пока не проверите бит переполнения. В вашем случае простое продвижение на unsigned long подойдет.
@Jongware: хорошо, если только unsigned int и unsigned long имеют одинаковую ширину.
@Jongware Если unsigned long имеет тот же размер, что и unsigned int.
Затем, «больший тип, чем unsigned int » :-) Суть в том, что процессор обманывает , используя дополнительный бит. Трудно подражать в простой C без увеличения в размере.
@Jongware: C и C ++ не гарантируют, что существует больший тип.
Хотя у вас были бы большие надежды на unsigned long long , даже это на самом деле не гарантировано. Архитектура, в которой все (возможно, кроме char ) является 64-битной, не так уж неправдоподобна, я подозреваю, что были машины в стиле мэйнфреймов.
Идея № 2: тестирование на числовое переполнение unsigned int или тестирование некоторого (случайного) max ? Первый может (возможно, мне нужно обдумать это) вернуть результат, который меньше, чем один из его входных данных.
@Jongware: конечно, вы можете обнаружить переполнение неподписанных типов с помощью (a + b < a) , и когда у вас есть что-то, что работает, это просто вопрос производительности, что вы решите использовать на самом деле.
Ваш безопасный еще не совсем безопасен. К счастью, у Мэтта был хороший ответ на этот вопрос.

M.M · Accepted Answer · 2014-08-19T21-13-00.000Z

Вы считали:

if ( max - *accumulator < amount )
    return 1;

*accumulator += amount;
return 0;

Изменяя направление вашего первого сравнения в "наивной" версии, вы избегаете переполнения, т.е. Видите, сколько осталось комнаты (безопасно) и сравнивайте его с суммой, которую нужно добавить (также безопасно).

Эта версия предполагает, что *accumulator никогда не превышает max уже при вызове функции; если вы хотите поддержать этот случай, вам придется добавить дополнительный тест.

Я хотел бы, чтобы он поддерживал случай, когда * аккумулятор уже больше, чем max, поэтому я указал в этом вопросе без ограничений. Не могли бы вы показать мне версию, которая поддерживает неограниченный ввод? @Deduplicator подразумевает, что в моей есть ошибка.
@Martin добавить в начале, if ( *accumulator > max ) { /* do whatever you want to do in this case */ }
@Martin "Ваш дополнительный тест никогда не пройдет, если max == UINT_MAX" - конечно, это намеренно. Если max == UINT_MAX то *accumulator не может быть больше его.
«если max == UINT_MAX, сумма == UINT_MAX и * аккумулятор> 0, ваша функция переполнится» - нет, она вернет 1
Я прошел через это с помощью отладчика, вы правы. Я был смущен, я удалил свой комментарий. Спасибо!