Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Размышления над разыменованием нулевого…

Размышления над разыменованием нулевого указателя

15 Янв 2015

Оказывается, что вопрос, корректен или нет вот такой код &((T*)(0)->x), весьма непрост. Решил написать про это маленькую заметку.

В недавней статье о проверке ядра Linux с помощью анализатора PVS-Studio, я написал, что нашел вот такой фрагмент кода:

static int podhd_try_init(struct usb_interface *interface,
        struct usb_line6_podhd *podhd)
{
  int err;
  struct usb_line6 *line6 = &podhd->line6;

  if ((interface == NULL) || (podhd == NULL))
    return -ENODEV;
  ....
}

Также в статье я написал, что такой код, на мой взгляд, некорректен. Подробности можно посмотреть в статье.

После этого мне посыпались в почту письма о том, что я неправ, и этот код совершенно корректен. Многие указали, что если podhd == 0, то этот код по сути реализует идиому "offsetof", и ничего плохого произойти не может. Чтобы не писать множество ответов я решил оформить ответ в виде маленького поста в блоге.

Естественно я решил изучить данную тему подробнее. Но, если честно, в результате я только ещё больше запутался. Поэтому я не дам вам точный ответ, можно так писать или нет. Я только предоставлю некоторые ссылки и поделюсь своим мнением.

Когда я писал статью о проверке Linux, я размышлял так.

Любое разыменование нулевого указателя - это неопределённое поведение. Одним из проявлений неопределённого поведения может стать такая оптимизация кода, когда проверка (podhd == NULL) исчезнет. Именно такой вариант развития событий я и описал в статье.

В письмах некоторые разработчики написали, что не смогли добиться такого поведения на своих компиляторах. Однако, это ничего не доказывает. Ожидаемая правильная работа программы — это просто один из вариантов неопределённого поведения.

Некоторые также написали, что именно так устроен макрос ffsetof():

#define offsetof(st, m) ((size_t)(&((st *)0)->m))

Однако и это ничего не доказывает. Такие макросы специально сделаны так, чтобы работать правильно в нужном компиляторе. Если мы напишем похожий код, вовсе необязательно, что он будет работать.

Более того, здесь компилятор явно видит 0 и может угадать, что от него хочет программист. Когда 0 хранится в переменной это совсем другое дело, и компилятор может повести себя неожиданным образом.

Вот, что про offsetof сказано в Wikipedia:

The "traditional" implementation of the macro relied on the compiler being not especially picky about pointers; it obtained the offset of a member by specifying a hypothetical structure that begins at address zero:

#define offsetof(st, m) ((size_t)(&((st *)0)->m))

This works by casting a null pointer into a pointer to structure st, and then obtaining the address of member m within said structure. While this works correctly in many compilers, it has undefined behavior according to the C standard, since it involves a dereference of a null pointer (although, one might argue that no dereferencing takes place, because the whole expression is calculated at compile time). It also tends to produce confusing compiler diagnostics if one of the arguments is misspelled. Some modern compilers (such as GCC) define the macro using a special form instead, e.g.

#define offsetof(st, m) __builtin_offsetof(st, m)

Как видите, согласно Wikipedia я прав. Так писать нельзя. Это undefined behavior. Так же считают некоторые на сайте Stack Overflow: Address of members of a struct via NULL pointer.

Однако, меня смущает то, что, хотя все говорят про неопределённое поведение, нигде нет точного разъяснения на этот счёт. Например, в Wikipedia стоит пометка, что утверждение требует подтверждения [citation needed].

На форумах много раз обсуждались похожие вопросы, но нигде я не увидел однозначного объяснения, подтверждённого ссылками на стандарт Си или Си++.

Есть ещё вот такое старое обсуждение стандарта, которое тоже не добавило ясности: 232. Is indirection through a null pointer undefined behavior?

Итак, на данный момент окончательно данный вопрос мне не ясен. Однако, я по-прежнему считаю, что этот код плох и его следует отрефакторить.

Если кто-то пришлёт мне хорошие примечания на эту тему, то я добавлю их в конец этой статьи.

Популярные статьи по теме
Как различить C и C++ разработчиков по их коду

Дата: 12 Май 2022

Автор: Гость

Так уж случилось, что я пишу код для разных IoT-железок, связанных с электричеством, типа зарядных станций автомобилей. Поскольку аппаратных ресурсов, как правило, вполне достаточно, то основным фоку…
Отладочный вывод на микроконтроллерах: как Concepts и Ranges отправили мой printf на покой

Дата: 06 Май 2022

Автор: Гость

Здравствуйте! Меня зовут Александр, и я работаю программистом микроконтроллеров.
Нереальный baselining или доработки PVS-Studio для Unreal Engine проектов

Дата: 26 Апр 2022

Автор: Валерий Комаров

Статический анализатор PVS-Studio постоянно развивается: улучшаются различные механизмы, происходит интеграция с игровыми движками, IDE, CI/CD и другими системами и сервисами. Благодаря этому несколь…
Разбор некоторых вредных советов для С++ программиста

Дата: 21 Апр 2022

Автор: Андрей Карпов

Юмор юмором, но осторожность не повредит. Вдруг кому-то не до конца понятно, почему какой-то из советов является вредным. Здесь можно найти соответствующие пояснения.
Четыре причины проверять, что вернула функция malloc

Дата: 20 Апр 2022

Автор: Андрей Карпов

Некоторые разработчики пренебрежительно относятся к проверкам: удалось ли выделить память с помощью функции malloc или нет. Их логика проста – памяти всегда должно хватить. А если не хватит, всё равн…

Комментарии (0)

Следующие комментарии
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять