C安全地取整数的绝对值

Question

考虑以下程序 (C99)：

#include <stdio.h>
#include <stdlib.h>
#include <inttypes.h>

int main(void)
{
    printf("Enter int in range %jd .. %jd:\n > ", INTMAX_MIN, INTMAX_MAX);
    intmax_t i;
    if (scanf("%jd", &i) == 1)
        printf("Result: |%jd| = %jd\n", i, imaxabs(i));
}

现在据我了解，这包含易于触发的未定义行为，如下所示：

Enter int in range -9223372036854775808 .. 9223372036854775807:
 > -9223372036854775808
Result: |-9223372036854775808| = -9223372036854775808

问题：

1. 当用户输入错误的数字时，这真的是未定义的行为吗，例如“允许代码触发任何代码路径，任何代码都被编译器喜欢”？还是其他的不完全定义？

2. 一个学究气的程序员如何防范这种情况，不做任何标准不能保证的假设？

（有一些相关的问题，但我没有找到一个回答上面问题2的问题，所以如果你建议重复，请确保它回答了。）

Answer 1

如果imaxabs的结果无法表示，如果使用二进制补码可能会发生，则行为未定义。

7.8.2.1 imaxabs 函数

1. imaxabs 函数计算整数 j 的绝对值。如果结果不能 被表示，行为是未定义的。 221）

221) 最大负数的绝对值不能用二进制补码表示。

不做任何假设且始终定义的检查是：

intmax_t i = ... ;
if( i < -INTMAX_MAX )
{
    //handle error
}

（如果使用反码或符号大小表示，则无法采用此 if 语句，因此编译器可能会给出无法访问的代码警告。代码本身仍然是已定义且有效的。）

Answer 2

一个学究气的程序员如何在不做任何标准不能保证的假设的情况下防止这种情况发生？

一种方法是使用无符号整数。无符号整数的溢出行为与从有符号整数转换为无符号整数时的行为一样定义良好。

所以我认为以下应该是安全的（事实证明它在一些非常晦涩的系统上被严重破坏，请参阅帖子后面的改进版本）

uintmax_t j = i;
if (j > (uintmax_t)INTMAX_MAX) {
  j = -j;
}
printf("Result: |%jd| = %ju\n", i, j);

---

那么这是如何工作的呢？

uintmax_t j = i;

这会将有符号整数转换为无符号整数。如果为正，则值保持不变，如果为负，则值增加 2ⁿ（其中 n 是位数）。这会将其转换为一个大数（大于 INTMAX_MAX）

if (j > (uintmax_t)INTMAX_MAX) {

如果原始数字是正数（因此小于或等于 INTMAX_MAX），则不会执行任何操作。如果原始数字为负，则运行 if 块的内部。

  j = -j;

数字被否定。否定的结果显然是负数，因此不能表示为无符号整数。所以它增加了2ⁿ。

所以从代数上看，负 i 的结果是这样的

j = - (i + 2ⁿ) + 2ⁿ = -i

---

聪明，但这个解决方案做了假设。如果 INTMAX_MAX == UINTMAX_MAX，这将失败，这是 C 标准所允许的。

嗯，让我们看看这个（我正在阅读https://busybox.net/~landley/c99-draft.html，这显然是标准化之前的最后一个 C99 草案，如果最终标准有任何变化，请告诉我。

当 typedef 名称仅在初始 u 不存在或存在时有所不同时，它们应表示相应的有符号和无符号类型，如 6.2.5 中所述；一个实现不应该提供一个类型而不提供其对应的类型。

在 6.2.5 中我看到了

对于每个有符号整数类型，都有一个对应的（但不同的）无符号整数类型（用关键字 unsigned 指定），它使用相同的存储量（包括符号信息）并具有相同的对齐要求。

在 6.2.6.2 中我看到了

#1

对于 unsigned char 以外的无符号整数类型，对象表示的位应分为两组：值位和填充位（后者不需要任何一个）。如果有 N 个值位，每个位应表示 1 和 2N-1 之间的 2 的不同幂，以便 > 该类型的对象应能够表示从 0 到 2N-1 的值 > 使用纯二进制表示；这应称为值表示。未指定任何填充位的值。39)

#2

对于有符号整数类型，对象表示的位应分为三组：值位、填充位和符号位。不需要任何填充位；应该只有一个符号位。作为值位的每个位应与相应无符号类型的对象表示中的相同位具有相同的值（如果有符号类型中有 M 个值位，无符号类型中有 N 个值位，则 M

所以是的，您似乎是对的，虽然有符号和无符号类型必须具有相同的大小，但对于无符号类型比有符号类型多一个填充位似乎是有效的。

---

好的，根据上面的分析，我在第一次尝试中发现了一个缺陷，我写了一个更偏执的变体。这与我的第一个版本相比有两个变化。

我使用 i (uintmax_t)INTMAX_MAX 来检查负数。这意味着即使 INTMAX_MAX == UINTMAX_MAX，算法也会对大于或等于 -INTMAX_MAX 的数字产生正确的结果。

我添加了对错误情况的处理，其中 INTMAX_MAX == UINTMAX_MAX、INTMAX_MIN == -INTMAX_MAX -1 和 i == INTMAX_MIN。这将导致我们可以轻松测试的 if 条件中的 j=0。

从C标准的要求可以看出，INTMAX_MIN不能小于-INTMAX_MAX -1，因为符号位只有一个，值位的个数必须等于或小于对应的无符号类型。根本没有剩下的位模式来表示较小的数字。

uintmax_t j = i;
if (i < 0) {
  j = -j;
  if (j == 0) {
    printf("your platform sucks\n");
    exit(1);
  }
}
printf("Result: |%jd| = %ju\n", i, j);

---

@plugwash 我认为 2501 是正确的。例如，-UINTMAX_MAX 值变为 1：(-UINTMAX_MAX + (UINTMAX_MAX + 1))，并且不会被您的 if 捕获。 – hyde 58 分钟前

嗯，

假设 INTMAX_MAX == UINTMAX_MAX 并且 i = -INTMAX_MAX

uintmax_t j = i;

在这条命令之后 j = -INTMAX_MAX + (UINTMAX_MAX + 1) = 1

如果 (i

i 小于零，所以我们在 if 中运行命令

j = -j;

在这条命令之后 j = -1 + (UINTMAX_MAX + 1) = UINTMAX_MAX

这是正确的答案，因此无需在错误情况下将其捕获。

Answer 3

在二补系统上，获得最大负值的绝对数确实是未定义的行为，因为绝对值会超出范围。由于 UB 在运行时发生，因此编译器无能为力。

防止这种情况的唯一方法是将输入与该类型的最负值（您显示的代码中的INTMAX_MIN）进行比较。

Answer 4

因此，计算整数的绝对值会在一种情况下调用未定义的行为。实际上，虽然可以避免未定义的行为，但在一种情况下不可能给出正确的结果。

现在考虑一个整数乘以 3：这里有一个更严重的问题。此操作在所有情况下的 2/3 中调用了未定义的行为！对于所有 int 值 x 的三分之二，找到一个值为 3x 的 int 是不可能的。这是一个比绝对值问题严重得多的问题。

Answer 5

你可能想使用一些小技巧：

int v;           // we want to find the absolute value of v
unsigned int r;  // the result goes here 
int const mask = v >> sizeof(int) * CHAR_BIT - 1;

r = (v + mask) ^ mask;

这在INT_MIN < v <= INT_MAX 时效果很好。在v == INT_MIN 的情况下，它仍然是INT_MIN，不会导致未定义的行为。

您还可以使用按位运算在反码和符号幅度系统上处理此问题。

参考：https://graphics.stanford.edu/~seander/bithacks.html#IntegerAbs

Answer 6

据此http://linux.die.net/man/3/imaxabs

备注

试图取最大负整数的绝对值没有定义。

要处理全部范围，您可以在代码中添加类似这样的内容

    if (i != INTMAX_MIN) {
        printf("Result: |%jd| = %jd\n", i, imaxabs(i));
    } else {  /* Code around undefined abs( INTMAX_MIN) /*
        printf("Result: |%jd| = %jd%jd\n", i, -(i/10), -(i%10));
    }

编辑：由于 abs(INTMAX_MIN) 无法在 2 的补码机器上表示，因此可表示范围内的 2 个值在输出时连接为字符串。 使用 gcc 测试，虽然 printf 需要 %lld，因为 %jd 不是受支持的格式。

Answer 7

1. 当用户输入错误的数字时，这真的是未定义的行为吗，例如“代码被允许触发任何代码路径，其中任何代码都被编译器喜欢”？还是其他一些未完全定义的味道？

程序的行为只是未定义的，当错误的数字被成功输入并传递给 imaxabs() 时，它在典型的 2 的补码系统上返回 -ve 结果，如您所见。

在这种情况下，这是未定义的行为，如果 ALU 设置状态标志，则还允许实现以溢出错误终止程序。

C 中“未定义行为”的原因是编译器编写者不必防范溢出，因此程序可以更高效地运行。虽然每个 C 程序使用 abs() 试图杀死你的第一个出生的人都符合 C 标准，但仅仅因为你用一个太 -ve 的值调用它，将这样的代码写入目标文件将是不正当的。

这些未定义行为的真正问题在于，优化编译器可以排除幼稚的检查，因此代码如下：

r = (i < 0) ? -i : i;
if (r < 0) {   // This code may be pointless
    // Do overflow recovery
    doRecoveryProcessing();
} else {
    printf("%jd", r);
}

由于编译器优化器可以推断负值被否定，它原则上可以确定 (r 总是为假，因此捕获问题的尝试失败。

1. 一个学究气的程序员如何在不做任何标准无法保证的假设的情况下防止这种情况发生？

到目前为止，最好的方法是确保程序在有效范围内工作，因此在这种情况下验证输入就足够了（不允许 INTMAX_MIN）。 打印 abs() 表格的程序应该避免使用 INT*_MIN 等。

    if (i != INTMAX_MIN) {
        printf("Result: |%jd| = %jd\n", i, imaxabs(i));
    } else {  /* Code around undefined abs( INTMAX_MIN) /*
        printf("Result: |%jd| = %jd%jd\n", i, -(i/10), -(i%10));
    }

似乎是通过伪造写出 abs(INTMAX_MIN)，从而使程序能够兑现对用户的承诺。