Faut-il toujours utiliser 'int' pour les nombres en C, même si elles sont non-négatives?

J'ai toujours utiliser unsigned int pour les valeurs qui ne doit jamais être négatif. Mais aujourd'hui, je
remarqué cette situation dans mon code:

void CreateRequestHeader( unsigned bitsAvailable, unsigned mandatoryDataSize, 
    unsigned optionalDataSize )
{
    If ( bitsAvailable – mandatoryDataSize >= optionalDataSize ) {
        //Optional data fits, so add it to the header.
    }

    //BUG! The above includes the optional part even if
    //mandatoryDataSize > bitsAvailable.
}

Devrais-je commencer à utiliser int au lieu de unsigned int pour les chiffres, même s'ils
ne peut pas être négatif?

Quel est le problème: si (bitsAvailable >= optionalDataSize + mandatoryDataSize) { ... } ?
Pour info, Java ne supporte pas les types non signés, donc si jamais vous prévoyez d'avoir votre code d'interopérabilité avec Java, vous devriez éviter ces types, à moins que vous vraiment besoin de la plage du type de valeurs spécifiques. Je ne crois qu'il est approprié d'utiliser unsigned uniquement pour les fins de l'indication que les valeurs négatives ne sont pas pris en charge/autorisés.
Un autre FYI: ce genre de bugs sont le genre que un bon analyseur de code statique trouverez pour vous. Coverity trouverez des problèmes comme celui-ci, n'avez pas utilisé d'autres assez pour le dire, mais je suis sûr que la plupart d'entre eux serait prise que. Voici une liste des outils disponibles: en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis
Voir aussi: stackoverflow.com/questions/1951519/when-to-use-stdsize-t pour le C++, mais les réponses restent pour la plupart s'appliquent
Il n'est pas parfait non plus. Plus peut provoquer un débordement, et l'envelopper non signé.

InformationsquelleAutor Steve Hanov | 2010-07-15

c coding-style

25

Dois-je toujours ...

La réponse à "dois-je toujours ..." est presque certainement "non", il y a beaucoup de facteurs qui déterminent si vous devez utiliser un type de données - la cohérence est importante.

Mais, c'est un très subjective de la question, il est vraiment facile de gâcher unsigneds:
```
for (unsigned int i = 10; i >= 0; i--);
```
résultats dans une boucle infinie.

C'est pourquoi certains guides de style, y compris Google C++ Guide de Style décourager unsigned types de données.

Dans mon opinion personnelle, je n'ai pas rencontré de nombreux bugs causés par ces problèmes avec des unsigned types de données, je dirais, utilisez les assertions de vérifier votre code et de les utiliser judicieusement (et moins lorsque vous effectuez l'arithmétique).
- À mon humble avis, unsigned permet de détecter les erreurs lors de la compilation de la phase plutôt qu'au moment de l'exécution. Les valeurs ordinales, comme les quantités, doivent être unsigned int plutôt que signed int.
- Non détecté un dépassement de précision et de débordement sont à la base C-la famille de pièges - à l'aide d'signé vs non signé changements les cas d'erreur, mais ne pas se débarrasser de tout. Bien sûr, d'avoir une erreur de droit adjacent à zéro peut être un surtout mauvaise chose, mais comme tu dis, ça dépend de ce que vous êtes en train de faire. Dans la boucle ci-dessus, vous pouvez le vérifier != ~0 en tant que votre condition de fin - il est utile non signé non valide/valeur de fin. C'est une petite bidouille (0 est de type int, donc ~0 est -1) mais sur sane machines de l'implicite cast fonctionne, tout simplement, et visuellement c'est moins bizarre que d'avoir un unsigned -1.
- Merci, pour les commentaires, mais je ne suis pas entièrement sûr je suis d'accord. c (et c++) fournit des conversions implicites entre signed et unsigned types, qui peuvent donner des silencieux et des résultats surprenants. Il n'y a pas trop de contraintes syntaxiques entre les deux, qui peuvent déclencher une compilation de panne (sauf si vous passez supplémentaires drapeaux d'avertissement du compilateur). L'avantage d'une unsigned type est surtout sémantique, sauf si vous êtes spécifiquement en utilisant le type non signé afin d'éviter la manipulation du bit de signe (par exemple dans un masque de bits).
- Yep, il y a certainement les moyens pour éviter cela, mais ils ne sont pas aussi intuitif à lire que >=0... c'est pourquoi il est devenu une "chasse aux sorcières' 🙂
- for (unsigned i = 10; i != -1; --i) est parfaitement bien.
- De mauvaises Choses™ se produire lorsque vous utilisez des nombres signés pour représenter la taille des paramètres. Voir mon post.
- Je ne pense pas que la description de Google guide de style est précis à 100%. Voici ce qu'il dit en réalité: "De la C les types integer, seulement int doit être utilisé. Lorsque approprié, vous êtes invités à utiliser les types standard comme size_t et ptrdiff_t." et puis, il va à élaborer, dans certains cas, vous devez utiliser int au lieu de l'un des types non signés (comme uint32_t). Peut-être Google guide de style a changé depuis cette réponse a été écrit?
- href="https://web.archive.org/web/20160321095337/https://google.github.io/styleguide/cppguide.html#Integer_Types" >le 21 Mars 2016, leur suggestion semble assez sans équivoque à moi: “Vous ne devez pas utiliser l'entier non signé de types tels que uint32_t, sauf s'il existe une raison valable, comme la représentation d'une séquence de bits plutôt que d'un nombre, ou vous avez besoin défini débordement modulo 2^N. En particulier, n'utilisez pas les types non signés-à-dire un certain nombre ne sera jamais négatif. Au lieu de cela, utilisez les assertions pour cela.”
InformationsquelleAutor Stephen
94

Une chose qui n'a pas été mentionné, c'est que échange signé/non signé nombre peut conduire à des bogues de sécurité. C'est un grand problème, depuis de nombreuses fonctions dans la norme C-bibliothèque/retour unsigned numéros (fread, memcpy, malloc etc. tous prendre size_t paramètres)

Par exemple, prenez la suite anodin exemple (à partir de code réel):
```
//Copy a user-defined structure into a buffer and process it
char* processNext(char* data, short length)
{
    char buffer[512];
    if (length <= 512) {
        memcpy(buffer, data, length);
        process(buffer);
        return data + length;
    } else {
        return -1;
    }
}
```
A l'air inoffensif, non? Le problème est que length est signé, mais est converti en unsigned lorsqu'il est passé à memcpy. Ainsi, le réglage de la longueur de SHRT_MIN permettra de valider les <= 512 test, mais à cause memcpy de copier plus de 512 octets de la mémoire tampon, ce qui permet à un attaquant de remplacer la fonction de l'adresse de retour sur la pile et (après un peu de travail) prendre le contrôle de votre ordinateur!

Vous pouvez naïvement dire, "Il est donc évident que la longueur doit être size_t ou vérifié pour être >= 0, je ne pourrais jamais faire cette erreur". Sauf, je vous garantis que si vous avez déjà écrit quelque chose de non trivial, que vous avez. Les auteurs de Windows, Linux, BSD, Solaris, Firefox, OpenSSL, Safari, MS Paint, Internet Explorer, Google Picasa, Opéra, Flash, Open Office, Subversion, Apache, Python, PHP, Pidgin, Gimp, ... sur et sur et sur ... - et ce sont tous les lumineux personnes dont travail est de savoir de sécurité.

En bref, toujours utiliser size_t pour les tailles.

Homme, la programmation est dur.
- Non, l'oubli de la vérification des limites résultats dans les bogues de sécurité. Si vous vous êtes trompé dans l'autre sens, unsigned ne serait pas vous aider, votre fonction ferait un plaisir de les écrire à myArray[0xFFFFFFFF].
- Non, la cause est à l'aide de signé ints quand vous devriez être en utilisant unsigned ints comme size_t (ou, plus précisément, c'est la conversion implicite entre signed/unsigned numéros). Bien sûr, oublier de vérifier les limites est également un problème. J'ai changé l'exemple afin de rendre cela plus clair merci.
- Ce problème a me piquer dans le cul tellement de fois, que maintenant, je suis simplement jeter le tout à des nombres entiers signés (oui, signée). 2 go d'espace d'adressage n'est pas la peine 🙂
- Il n'y a pas une telle chose comme un signé pointeur, seulement un pointeur vers un type signé, de sorte que vous ne perdrez jamais l'espace d'adressage. Mais même alors, votre solution n'est pas utile dans le cas ci-dessus, parce que la variable est implicitement convertie en unsigned lorsque vous appelez memcpy().
- Quel type dois-je utiliser pour faire la soustraction avec un size_t?
- href="http://stackoverflow.com/questions/14202241/what-type-for-subtracting-2-size-ts" title="ce type pour soustraire 2 taille de la ts">stackoverflow.com/questions/14202241/...
- Je ne vois pas pourquoi l'omission de la vérification de limites pour la limite inférieure de length n'est pas la racine du problème ici. Bien sûr, vous pourriez avoir utilisé un type non signé comme size_t, mais alors vous ne serait même pas en mesure de vérifier que la limite inférieure est non-négative. Grâce à la conversion implicite de règles, que des causes justes différentes bugs. Comment est-ce une amélioration?
- Non, il n'écrira pas. Si unsigned int length = 0xFFFFFFFF est utilisé, alors if (length <= 512) permettra d'évaluer à false.
- vous n'avez pas toujours envie de mettre la sécurité de tous sur la place. parce que la sécurité = une programmation défensive. et d'être trop défensif a été à l'honneur dans le code-odeur catégories de la fin. Je ne prends pas de côté, il suffit de dire que les deux besoins pour que pensent vraiment les uns les autres un jour, et essayer de dire quelque chose de cohérent pour un changement.
- Vous devez mentionner que dans gcc, le drapeau -Wconversion ou plus précisément -Wsign-conversion met en garde sur l'implicite de la conversion des signes et l'erreur devient visible instantanément. Le problème est le caché de conversion.
InformationsquelleAutor BlueRaja - Danny Pflughoeft
12

Dans certains cas, vous devez utiliser unsigned integer types sont:
- Vous avez besoin pour traiter une donnée comme une pure représentation binaire.
- Vous avez besoin de la sémantique de l'arithmétique modulo vous obtenez avec des nombres non signés.
- Vous avez à l'interface avec le code qui utilise les types non signés (par exemple, la norme de la bibliothèque de routines qui acceptent de rendement/size_t valeurs.
Mais pour le général, l'arithmétique, la chose est, quand vous dites que quelque chose "ne peut pas être négatif," cela ne veut pas nécessairement dire que vous devez utiliser un type non signé. Parce que vous peut mettre une valeur négative dans un unsigned, c'est juste qu'il va devenir une très grande valeur quand vous allez sortir. Donc, si vous voulez dire que les valeurs négatives sont interdites, comme pour une base de la racine carrée de la fonction, alors vous êtes en indiquant une condition préalable de la fonction, et vous devriez le faire valoir. Et vous ne pouvez pas affirmer que ce qui ne peut l'être, est; vous avez besoin d'un moyen de tenir out-of-band valeurs de sorte que vous pouvez les tester (c'est le même genre de logique derrière getchar() retour d'un int et pas char.)

En outre, le choix de l'signé-vs-non signé peut avoir des répercussions sur la performance, ainsi. Jetez un oeil à l' (fictive) de code ci-dessous:
```
#include <stdbool.h>

bool foo_i(int a) {
    return (a + 69) > a;
}

bool foo_u(unsigned int a)
{
    return (a + 69u) > a;
}
```
Les deux foo's sont les mêmes, sauf pour le type de leurs paramètres. Mais, lorsqu'il est compilé avec c99 -fomit-frame-pointer -O2 -S, vous obtenez:
```
 .fichier "essai.c" 
.texte 
.p2align 4,,15 
.globl foo_i 
.type foo_i, @fonction 
foo_i: 
movl $1, %eax 
ret 
.taille foo_i, .-foo_i 
.p2align 4,,15 
.globl foo_u 
.type foo_u, @fonction 
foo_u: 
movl 4(%esp), %eax 
leal 69(%eax), %edx 
cmpl %eax, %edx 
seta %al 
ret 
.taille foo_u, .-foo_u 
.ident "GCC: (Debian 4.4.4-7) 4.4.4" 
.de la section .remarque.GNU-de la pile",",@progbits 
```
Vous pouvez voir que foo_i() est plus efficace que foo_u(). C'est parce que unsigned de dépassement de capacité arithmétique est défini par la norme pour "envelopper", de sorte (a + 69u) peut très bien être plus petit que a si a est très grand, et donc il doit y avoir des code pour ce cas. D'autre part, signé de dépassement de capacité arithmétique est pas défini, donc GCC va aller de l'avant et d'assumer arithmétique signée n'est pas de débordement, et ainsi de (a + 69) ne peut pas jamais être inférieure à a. Le choix de types non signés sans discernement peut donc limiter l'impact direct sur les performances.

InformationsquelleAutor Nietzche-jou
11

Bjarne Stroustrup, créateur du langage C++, met en garde sur l'utilisation de types non signés dans son livre Le langage de programmation C++:

L'entier non signé types sont idéales
pour les utilisations traiter de stockage comme un peu
tableau. À l'aide d'un unsigned au lieu d'une
int pour gagner un peu plus de représenter
les entiers positifs est presque jamais une
bonne idée. Essaie de faire en sorte que
certaines valeurs sont positives en déclarant
les variables non signé sera généralement
vaincu par la conversion implicite
des règles.
- Pourtant, la bibliothèque standard utilisé unsigned types pour la taille du conteneur (une source importante de bugs dans les programmes C++)...
- Je l'interface avec les conteneurs standard à l'aide des itérateurs pour à peu près tout sauf le plus trivial ou jeter des extraits.
- Pour être plus explicite: il n' pas avertir à propos de en général! Il ne prévient en essayant d'étendre la gamme de valeur en utilisant non signés au lieu de a signé!
InformationsquelleAutor 5ound
9

La réponse est Oui. Le "unsigned int type de C et de C++ n'est pas un "toujours entier positif", quel que soit le nom du type ressemble. Le comportement de C/C++ unsigned ints n'a pas de sens si vous essayez de lire le type "non négatif"... par exemple:
- La différence de deux unsigned est un nombre non signé (n'a pas de sens si vous l'avez lu comme "La différence entre les deux nombres négatifs est non-négatif")
- L'ajout d'un int et unsigned int unsigned
- Il y a une conversion implicite de int unsigned int (si vous lisez unsigned comme "non négatif" c'est la en face de de conversion qui serait logique)
- Si vous déclarez une fonction acceptant un unsigned paramètre lorsque quelqu'un passe un négatif int vous obtenez tout simplement qu'implicitement converti en une énorme valeur positive; en d'autres termes à l'aide d'un unsigned type de paramètre n'est pas de vous aider à trouver les erreurs ni au moment de la compilation, ni au moment de l'exécution.
En effet, non signé nombre est très utile pour certains cas parce qu'ils sont des éléments de l'anneau des entiers-modulo-N", N étant une puissance de deux. Unsigned ints sont utiles lorsque vous souhaitez l'utiliser modulo-n arithmétique, ou comme des masques de bits; ils ne sont PAS utiles, car les quantités.

Malheureusement en C et C++ non signés ont également été utilisés pour représenter les non-négatif quantités pour être en mesure d'utiliser tous les 16 bits lorsque les entiers où ce petit... à ce moment, être en mesure d'utiliser 32k ou 64 ko a été considéré comme une grande différence. J'avais le classer comme un accident historique... vous ne devriez pas essayer de lire une logique, car il n'y a pas de logique.

Par la façon dont, à mon avis, c'était une erreur... si 32k ne sont pas assez puis très bientôt de 64 ko de ne pas être suffisant; abusant de la modulo entier juste parce que d'un bit supplémentaire à mon avis, est d'un coût trop élevé à payer. Bien sûr, il aurait été raisonnable de le faire si une bonne non-type négatif était présent ou défini... mais non signé sémantique est tout à fait inacceptable pour l'utiliser en tant que non-négatif.

Parfois, vous pouvez trouver qui a dit que non signé est bon parce qu'il "documents" que vous ne voulez valeurs non négatives... cependant que la documentation est de valeur que pour ceux qui ne le savent pas vraiment comment unsigned travaille pour le C ou le C++. Pour moi, voir un type non signé utilisée pour les valeurs non négatives signifie simplement que qui a écrit le code ne comprends pas la langue, sur cette partie.

Si vous comprenez vraiment et souhaitez le "wrapping" comportement des entiers non signés alors qu'ils sont le bon choix (par exemple, j'ai presque toujours utiliser "unsigned char" quand je suis à la manipulation d'octets); si vous n'allez pas utiliser l'emballage comportement (et que le comportement est juste va être un problème pour vous, comme dans le cas de la différence vous le montre), alors c'est un indicateur clair que le type non signé est un mauvais choix et vous devez vous en tenir à la plaine ints.

Cela veut dire que le C++ std::vector<>::size() type de retour est un mauvais choix ? Oui... c'est une erreur. Mais si vous le dites alors soyez prêt à être appelé mauvais noms par ceux qui ne comprennent pas que le "non signé" le nom est juste un nom... ce qu'il compte c'est le comportement et qui est une "modulo n" comportement (et ne serait d'envisager un "modulo n" type de la taille d'un conteneur à un choix judicieux).
- -1. Heu, je veux dire +4294967295 🙂 unsigned's sémantique est illogique.
- Le problème avec des entiers non signés, c'est qu'ils s'habituent à deux fins différentes, dont chacune pourrait avoir un bon ensemble de règles, mais C est un méli-mosh des règles à partir de ces deux fins. Les types numériques autour de laquelle s'enroulent sont très utiles pour certaines choses. Lors du traitement des paquets TCP, par exemple, il est très utile d'être en mesure de dire tcp->stuffed - tcp->acked et de savoir combien d'octets ont été placés dans le tampon mais pas reconnu même si les numéros de séquence avoir enroulé autour. Le problème est que les valeurs non signées ne sont pas réguliers habillage sémantique...
- ...parce qu'ils sont souvent utilisés pour contenir des valeurs qui ne sera jamais négatif, mais qui sont trop volumineux pour tenir dans la même taille type non signé. L'emballage des comportements de types non signés n'étaient pas conçus comme elles se sont produites naturellement dans les premiers systèmes et ont été utiles.
- Il était assez commun sur de nombreux systèmes avec un 16-bit int genre à avoir des objets individuels qui ont été plus importants que 32K, mais traiter efficacement les objets de plus de 64 KO, il aurait fallu une plus grande int type. Le problème avec unsigned int est que comme vous l'avez très justement remarque il est utilisé pour servir de deux disjoints rôles (les numéros rapport algébrique des anneaux). Je souhaite C permettrait d'ajouter de nouveaux types distincts pour les nombres naturels jusqu'à 2^2^n-1 [par exemple 65535], les nombres naturels jusqu'à 2^(2^n-1)-1 [par exemple, 32767], et algébrique anneaux mod 2^2^n [par exemple, 65536], sémantique, qui sont mieux dans chaque cas.
InformationsquelleAutor 6502
7

Je semble être en désaccord avec la plupart des gens ici, mais je trouve unsigned types très utile, mais pas dans leur raw historique de la forme.

Si vous, par conséquent, le bâton à la sémantique qu'un type que représente pour vous, il n'y a pas de problème: l'utilisation size_t (non signé) pour les indices de tableau, les données des décalages etc. off_t (signé) pour les décalages de fichier. Utilisation ptrdiff_t (signé) pour les différences de pointeurs. Utilisation uint8_t pour les petits entiers non signés et int8_t pour signé une. Et vous éviter d'au moins 80% des problèmes de portabilité.

Et n'utilisez pas int, long, unsigned, char si vous ne devez pas. Ils appartiennent dans les livres d'histoire. (Vous devez parfois, l'erreur revient, champs de bits, e.g)

Et pour en revenir à votre exemple:

bitsAvailable – mandatoryDataSize >= optionalDataSize

peut facilement être réécrit comme

bitsAvailable >= optionalDataSize + mandatoryDataSize

qui n'est pas d'éviter le problème d'un éventuel dépassement de capacité (assert est votre ami), mais vous permet de vous rapprocher un peu plus de l'idée de ce que vous voulez tester, je pense.
- J'aime ceci: C'est une bonne idée pour éviter de soustraction si vous utilisez des types non signés.
- Sur un système 32 bits, compte tenu de uint16_t x = 0xFFFF; uint16_t y=x*x; quelle est la norme de dire à propos de la valeur de y?
- Je ne vois pas de quoi vous vous dirigez, mais les règles sont simples. Le membre de droite est calculée en 32 bits int. Le résultat de la multiplication semble être 0xFFFE0001 ainsi la multiplication des débordements et le comportement est indéfini. C'est un bon exemple pourquoi on ne devrait jamais utiliser étroit types pour l'arithmétique. Lors de l'utilisation de size_t ce problème ne se produit pas.
- Jusqu'à récemment, la majorité des systèmes embarqués utilisés en 16 bits int. Si l'on était de l'écriture de code sur un tel système de mise à jour de 16 bits en complément à deux ou un complément de la somme de contrôle après avoir écrit une répétition de la valeur à un flux, de la multiplication de deux uint16_t serait le moyen naturel de le faire. De plus, jusqu'à très récemment, 99,9% des compilateurs C pour les systèmes 32 bits donnerait exactement le même calcul sans aucune difficulté. Alors que certains soutiennent que l'expression serait mieux rédigé comme 1u*x*x, je considère la nécessité pour ce dernier forme comme une lacune dans la langue spec.
- De plus, je ne pense pas que size_t et ptrdiff_t vraiment aider beaucoup, donné char foo[100], *p1 = foo, *p2 = foo+100; quelle est la valeur de (p1-p2) > sizeof foo? Sur certains systèmes, où la plus grande taille de l'élément est entre 32768 et 65535, ou entre 2147483648 et 4294967295, l'expression de rendement 0, mais sur de nombreux autres systèmes, il serait de rendement 1.
- Voulez-vous dire p2 - p1 ? p2 - p1 n'est définie que si les deux pointeurs point à l'intérieur (ou l'un au-delà) le même objet. Donc, par définition, la valeur s'inscrit dans size_t. Maintenant, si vous voulait vraiment dire p1-p2, le type de résultat est ptrdiff_t c'est donc une valeur négative. Si il underflows, là encore, le comportement n'est pas défini. --- Je ne suis pas encore clair ce que vous voulez prouver ou de réfuter. La seule chose que vous avez montré jusqu'à présent, certains miscomfort avec ce que je dis dans ma réponse.
- observons également que cette réponse est ici presque 5 ans. J'ai écrit tout ça, maintenant aussi il y a si longtemps gustedt.wordpress.com/2013/07/15/...
- Comment doit-on proprement gérer les opérations qui, par exemple, combiner size_t et ptrdiff_t? À mon humble avis, pour être vraiment un langage portable C devrait ajouter de nouveaux types de types intégraux de distinguer les types qui doivent se comporter comme des nombres naturels (ce qui permettrait de comparer plus de nombres négatifs de toute taille, et ne serait pas nécessaire pour "envelopper" proprement en tout cas) de ceux qui doivent se comporter comme emballage algébrique des anneaux (qui, lorsqu'il est ajouté à un signé ou nombre naturel de toute taille, donnerait un membre de la même bague). Qui permettrait à l'amélioration des optimisations dans de nombreux types de code...
- ...et laisser les choses comme wrap16_t x=65535; wrap16_t y=x*x; être écrit clairement définie par la sémantique, à la différence de int16_t qui nécessiterait la dernière expression à l'écrit comme 1uxx. A lot of code today expects uint32_t` va se comporter comme un wrap32_t et échouait sur une machine où int est de 64 bits, mais si un wrap32_t type existait un tel code pourrait être porté facilement sur les systèmes 64 bits en modifiant certains uint32_t à wrap32_t et certains de nat32_t; dans la plupart des cas, il devrait être assez évident, ce qui serait nécessaire.
- BTW, je viens de regarder à travers votre blog sur le C défauts. Je pense que la plus grande chose que je dirais que C est manquant est un standard moyen par lequel un programme peut dire au compilateur "c'est Ce que j'ai besoin de ma mise en œuvre; vous devez me donner ce que j'ai besoin ou de refuser de compilation". Actuellement, de nombreux compilateurs offrent des commutateurs de ligne de commande pour contrôler si char est signé ou non signé, si des choses comme dépassement d'entier va se comporter de manière totalement prévisible, un peu prévisible, ou de nier les lois du temps et de la causalité, etc. mais il n'y a pas de manière standard pour les programmes afin de préciser les exigences.
- Les compilateurs pour ceux-complément de machines à ne pas avoir à générer du code qui interprète (-2 & 7) égal à 6, mais si le code qui dit "je m'attends à deux-complément de mathématiques" aurait pour générer au niveau du bit et au code qui se comporte de la mode ou de refuser la compilation. De même, si un compilateur pour un complément à deux de la machine est donnée code, qui prévoit que ceux-complément de mathématiques. Comme il est, il est souvent impossible d'écrire des pratiques non négligeables pour les programmes qui ne nécessitent pas de certaines hypothèses au-delà de celles indiquées dans la norme, mais il n'y a pas lisibles à la machine de façon à les documenter.
- cette discussion ne mène pas loin. Et BTW, il est facile de tester au moment de la compilation si c'est en complément à deux ou pas.
InformationsquelleAutor Jens Gustedt
6
```
if (bitsAvailable >= optionalDataSize + mandatoryDataSize) {
    //Optional data fits, so add it to the header.
}
```
Sans Bug, tant que mandatoryDataSize + optionalDataSize ne peut pas déborder le type entier non signé -- la dénomination de ces variables, m'amène à croire que c'est probablement le cas.

InformationsquelleAutor Stephen Canon
6

Vous ne pouvez pas éviter complètement unsigned types de code portable, parce que beaucoup de typedefs dans la bibliothèque standard ne sont pas signés (notamment size_t), et de nombreuses fonctions de retour de personnes (par exemple,std::vector<>::size()).

Cela dit, en général, je préfèrent s'en tenir aux types signés dans la mesure du possible, pour les raisons que vous avez exposées. Ce n'est pas seulement le cas où vous mettre dans le cas de mixte signé/non signé de l'arithmétique, de la signé argument est tranquillement promu non signé.

InformationsquelleAutor Pavel Minaev
3

À partir des commentaires sur l'un de Eric Lipperts billets de Blog (Voir ici):

Jeffrey L. Whitledge

Une fois, j'ai développé un système dans lequel
les valeurs négatives n'a pas de sens en tant que
paramètre, alors plutôt que de valider
que les valeurs des paramètres ont été
non négatif, je pensais que ce serait un
la grande idée de l'utiliser juste uint à la place. J'
rapidement découvert que chaque fois que je
utilisé ces valeurs pour rien (comme
l'appel de la BCL méthodes), qu'ils avaient
convertis en entiers signés. Cette
j'ai dû, pour valider que l'
les valeurs de ne pas dépasser la signé
entier de gamme sur l'extrémité supérieure, de sorte que je
rien gagné. Aussi, chaque fois que l'
le code a été appelé, les services de renseignements qui ont été
utilisé (souvent reçu de BCL
fonctions) ont dû être converties à
les nombres uint compris. Il n'a pas fallu longtemps avant que je
changé toutes ces nombres uint compris retour à l'ints
et pris tout ce qui inutiles casting
out. J'ai encore à valider le fait que la
les numéros ne sont pas négatives, mais le code
est beaucoup plus propre!

Eric Lippert

Ne pouvais pas dit mieux moi-même.
Vous presque jamais besoin de la portée d'un
uint, et ils ne sont pas conformes CLS.
La manière standard de représenter une petite
entier est avec "int", même si il y
sont des valeurs qui sont hors de
gamme. Une bonne règle de base: seules les utiliser
"uint" pour les situations où vous êtes
interopérabilité avec du code non managé
qui attend les nombres uint compris, ou lorsque le
entier en question est clairement utilisé comme
un ensemble de bits, pas un numéro. Toujours
essayez de l'éviter dans les interfaces publiques.
- Eric
- C'est en ce qui concerne le C#, pas de C
- Les exemples sont en C#spécifiques, mais les points les observations faites sont encore tout à fait vrai.
- Comme je le mentionne dans mon post, vous devrait utiliser unsigned types de données pour les Api qui nécessitent une taille de paramètre (utiliser size_t). Ce n'est pas le cas .Net, où les dépassements de mémoire tampon sont un non-problème.
- La citation indique explicitement que vous devez utiliser unsigned types de données lors de l'appel de code qui attend unsigned int.
- Je voulait dire que vous devriez être en utilisant unsigned types de données pour votre propre Api qui nécessitent un taille-paramètre (C), indépendamment de ce que vous appelez.
- Je ne vois pas en quoi ce n'est pas quelque chose qui serait naturellement conclu, à partir de la citation. Bien que vous devriez essayer de l'éviter dans les interfaces publiques, si le code de votre interface publique est en interaction avec attend un entier non signé (type de données, alors vous aurez besoin d'utiliser une valeur non signée pour interagir avec le code que vous appelez par le biais de cette interface.
InformationsquelleAutor Brian
2

La situation où (bitsAvailable – mandatoryDataSize) produit un "inattendue" résultat si les types ne sont pas signés et bitsAvailable < mandatoryDataSize la raison est que, parfois, signé types sont utilisés même lorsque les données devrait jamais être négatif.

Je pense qu'il n'y a aucune règle dure et rapide - en général, je "par défaut" à l'aide de unsigned types de données qui n'a pas de raison d'être négatif, mais alors vous avez à prendre pour s'assurer que l'arithmétique d'emballage ne pas exposer à des bogues.

Et puis, si vous utilisez des types signés, vous avez encore parfois à considérer overflow:
```
MAX_INT + 1
```
La clé est que vous devez prendre soin lors de l'exécution de l'arithmétique pour ces sortes de bugs.
- Le "wrapping" est la seule caractéristique intéressante des entiers non signés (pour les ints vous n'avez pas défini de comportement). Si l'emballage est un problème (ou si vous avez d'être prudent pour éviter cela), alors c'est un signe clair que "unsigned" était le mauvais choix. L'aide pas à avoir des problèmes avec l'emballage (c'est la caractéristique la plus distinctive de types non signés) est un non-sens... lorsque vous utilisez unsigned vous VOULEZ l'emballage... vous devez choisir non signés en RAISON de l'emballage du comportement...
- vous faites vraiment un bon point, et honnêtement, je pense que j'ai parfois l'utilisation non signé types de types signés pourrait être un meilleur choix. Mais je pense qu'il y a aussi des exceptions; par exemple, lorsque vous traitez avec des tailles de fichiers, vous devrez peut-être en mesure de faire face avec la gamme complète de size_t (ou même un peu plus grand type non signé), mais vous pouvez toujours besoin de gérer emballage des erreurs.
InformationsquelleAutor Michael Burr
2

Non, vous devez utiliser le type qui est bon pour votre demande. Il n'y a pas de règle d'or. Parfois sur de petits microcontrôleurs il est par exemple plus rapide et efficace en terme de mémoire à utiliser-dire 8 ou 16 bits variables dans la mesure du possible, comme c'est souvent le natif du chemin de données de taille, mais c'est un cas très spécial. Je recommande également à l'aide de stdint.h dans la mesure du possible. Si vous utilisez visual studio, vous pouvez trouver des versions sous licence BSD.

InformationsquelleAutor user393170

Si il y a une possibilité de dépassement de capacité, puis affectez les valeurs pour le meilleur type de données en cours de calcul, c'est à dire:

void CreateRequestHeader( unsigned int bitsAvailable, unsigned int mandatoryDataSize, unsigned int optionalDataSize ) 
{ 
    signed __int64 available = bitsAvailable;
    signed __int64 mandatory = mandatoryDataSize;
    signed __int64 optional = optionalDataSize;

    if ( (mandatory + optional) <= available ) { 
        //Optional data fits, so add it to the header. 
    } 
}

Sinon, il suffit de vérifier les valeurs individuellement au lieu de calculer:

void CreateRequestHeader( unsigned int bitsAvailable, unsigned int mandatoryDataSize, unsigned int optionalDataSize ) 
{ 
    if ( bitsAvailable < mandatoryDataSize ) { 
        return;
    } 
    bitsAvailable -= mandatoryDataSize;

    if ( bitsAvailable < optionalDataSize ) { 
        return;
    } 
    bitsAvailable -= optionalDataSize;

    //Optional data fits, so add it to the header. 
}

InformationsquelleAutor Remy Lebeau

0

Vous aurez besoin de regarder les résultats des opérations que vous effectuez sur les variables pour vérifier si vous pouvez obtenir plus de/underflows - dans votre cas, le résultat étant potentiellement négatifs. Dans ce cas, vous êtes mieux d'utiliser l'signé équivalents.

InformationsquelleAutor Timo Geusch
0

Je ne sais pas si c'est possible en c, mais dans ce cas, je voudrais juste lancer la X-Y chose à un int.
- L'effet de l'signé débordement (qui est ce que vous êtes en s'appuyant sur cette solution) est U. B. dans la Norme C.
- Minaev je dois admettre que je ne sais pas l'abréviation du nom de l'U. B.
- "Un comportement non défini".
- Minaev Grâce.
InformationsquelleAutor InsertNickHere
0

Si vos numéros de devrait jamais être inférieur à zéro, mais ont une chance d'être < 0, par tous les moyens d'utiliser les entiers signés et saupoudrer des assertions ou des autres d'exécution des contrôles autour de. Si vous êtes vraiment en train de travailler avec 32 bits (ou 64, ou 16, selon votre architecture cible) valeurs où le bit le plus significatif signifie autre chose que "-", vous ne devriez utiliser unsigned variables pour les tenir. Il est plus facile de détecter les débordements d'entiers où un nombre qui doit toujours être positive est très négatif que quand c'est nul, donc si vous n'avez pas besoin que peu, aller avec le signé une.

InformationsquelleAutor nmichaels
0

Supposons que vous avez besoin de compter de 1 à 50000. Vous pouvez le faire avec deux octets entier non signé, mais pas avec un deux-octet entier signé (si l'espace de questions que beaucoup).
- Pourquoi ne pouvez-vous pas? Voulez-vous dire 2 octets (16 bits) les valeurs à la place?
- Ce que je ne peux pas faire, c'est compter. Fixe. 😉
InformationsquelleAutor John

Vous devez vous connecter pour publier un commentaire.