在C/ c++中没有有效和可靠的方法来检测整数溢出

不，这不是如何检测整数溢出?的重复。问题是一样的，但问题是不同的。

gcc编译器可以优化掉溢出检查(使用-O2)，例如:

int a, b;
b = abs(a);                     // will overflow if a = 0x80000000
if (b < 0) printf("overflow");  // optimized away

gcc的人认为这不是一个bug。根据C标准，溢出是未定义的行为，它允许编译器执行任何操作。显然，任何都包含了永远不会发生溢出的假设。不幸的是，这允许编译器优化掉溢出检查。

在最近的一篇CERT论文中描述了检查溢出的安全方法。本文建议在添加两个整数之前执行以下操作:

if ( ((si1^si2) | (((si1^(~(si1^si2) & INT_MIN)) + si2)^si2)) >= 0) { 
  /* handle error condition */
} else {
  sum = si1 + si2;
}

显然，当您想要确保结果有效时，必须在一系列计算中的每个+、-、*、/和其他操作之前执行类似的操作。例如，如果您想确保数组索引不越界。这太麻烦了，实际上没人做。至少我从未见过一个C/c++程序系统地做到这一点。

现在，这是一个基本问题:

• 在访问数组之前检查数组索引是有用的，但不可靠。

• 用CERT方法检查一系列计算中的每个操作是可靠的，但没有用。

• 结论:在C/c++中没有有效和可靠的方法来检查溢出!

我拒绝相信这是标准编写时的意图。

我知道有一些命令行选项可以解决这个问题，但这并不能改变这样一个事实，即我们对标准或当前对标准的解释存在根本问题。

我的问题是:当gcc人员允许他们优化溢出检查时，是对"未定义行为"的解释走得太远了，还是C/c++标准被破坏了?

添加注:对不起，你可能误解了我的问题。我不是在问如何解决这个问题——这个问题已经在其他地方得到了解答。我在问一个关于C标准的更基本的问题。如果没有有用和可靠的方法来检查溢出，那么语言本身就是可疑的。例如，如果我创建了一个带有边界检查的安全数组类，那么我应该是安全的，但如果边界检查可以优化掉，我就不安全了。

如果标准允许这种情况发生，那么要么标准需要修订，要么标准的解释需要修订。

新增注释2:这里的人们似乎不愿意讨论"未定义行为"这个可疑的概念。事实上，C99标准列出了191种不同的未定义行为(链接)，这表明这是一个草率的标准。

许多程序员欣然接受"未定义行为"这一说法，即允许他们做任何事情，包括格式化硬盘。我认为这是一个问题，标准将整数溢出写入与数组边界外相同的危险类别。

为什么这两种"未定义行为"不同?因为:

• 许多程序依赖于整数溢出是良性的，但很少有程序依赖于在不知道存在什么的情况下在数组边界外写入。

• 实际上可以做一些糟糕的格式化你的硬盘(至少在一个不受保护的操作系统，如DOS)，大多数程序员都知道这是危险的

• 当你把整型溢出放入危险的"anything goes"类别时，它允许编译器做任何事情，包括对它正在做的事情撒谎(在溢出检查被优化掉的情况下)

• 可以通过调试器发现写入数组边界以外的错误，但是无法通过优化取消溢出检查的错误，因为在调试时优化通常是关闭的。

• 在整数溢出的情况下，gcc编译器显然避免了"任意"策略。在许多情况下，它会避免优化，例如，除非它可以验证溢出是不可能的。由于某种原因，gcc的人已经认识到，如果他们遵循"一切正常"的策略，我们将会有太多的错误，但是他们对优化消除溢出检查的问题有不同的态度。

也许这不是讨论这种哲学问题的合适地方。至少，这里的大多数答案都离题了。有更好的地方讨论这个吗?