用 C 检测 uint64_t 整数的乘法溢出

Question

是否有任何有效且可移植的方法来检查 C 中使用 int64_t 或 uint64_t 操作数的乘法运算何时溢出？

例如，添加 uint64_t 我可以这样做：

if (UINT64_MAX - a < b) overflow_detected();
else sum = a + b;

但我无法得到类似的简单乘法表达式。

我想到的就是将操作数分解为高和低 uint32_t 部分，并在检查溢出的同时执行这些部分的乘法，这确实很丑陋，也可能效率低下。

更新 1：添加了一些实现多种方法的基准代码

更新 2：添加了 Jens Gustedt 方法

基准测试程序：

#include <stdio.h>
#include <stdint.h>
#include <stdlib.h>

#define N 100000000

int d = 2;

#define POW_2_64 ((double)(1 << 31) * (double)(1 << 31) * 4)

#define calc_b (a + c)
// #define calc_b (a + d)

int main(int argc, char *argv[]) {
    uint64_t a;
    uint64_t c = 0;
    int o = 0;
    int opt;

    if (argc != 2) exit(1);

    opt = atoi(argv[1]);

    switch (opt) {

    case 1: /* faked check, just for timing */
        for (a = 0; a < N; a++) {
            uint64_t b = a + c;
            if (c > a) o++;
            c += b * a;
        }
        break;

    case 2: /* using division */
        for (a = 0; a < N; a++) {
            uint64_t b = a + c;
            if (b && (a > UINT64_MAX / b)) o++;
            c += b * a;
        }
        break;

    case 3: /* using floating point, unreliable */
        for (a = 0; a < N; a++) {
            uint64_t b = a + c;
            if ((double)UINT64_MAX < (double)a * (double)b) o++;
            c += b * a;
        }
        break;

    case 4: /* using floating point and division for difficult cases */
        for (a = 0; a < N; a++) {
            uint64_t b = a + c;
            double m = (double)a * (double)b;
            if ( ((double)(~(uint64_t)(0xffffffff)) < m ) &&
                 ( (POW_2_64 < m) ||
                   ( b &&
                     (a > UINT64_MAX / b) ) ) ) o++;
            c += b * a;
        }
        break;

    case 5: /* Jens Gustedt method */
        for (a = 0; a < N; a++) {
            uint64_t b = a + c;
            uint64_t a1, b1;
            if (a > b) { a1 = a; b1 = b; }
            else       { a1 = b; b1 = a; }
            if (b1 > 0xffffffff) o++;
            else {
                uint64_t a1l = (a1 & 0xffffffff) * b1;
                uint64_t a1h = (a1 >> 32) * b1 + (a1l >> 32);
                if (a1h >> 32) o++;
            }
            c += b1 * a1;
        }
        break;

    default:
        exit(2);
    }
    printf("c: %lu, o: %u\n", c, o);
}

到目前为止，在假设溢出非常不寻常的情况下，使用浮点过滤大多数情况的情况 4 是最快的，至少在我的计算机上它只比不做任何情况的情况慢两倍。

案例 5 比 4 慢 30%，但它始终执行相同的操作，没有任何特殊案例数字需要像 4 那样更慢的处理。

Answer 1

如果您想像 Ambroz 的回答那样避免分裂：

首先你必须看到两个数字中较小的一个，比如a，小于2³²，否则结果无论如何都会溢出。让b被分解成两个32位字，即b = c 2³² + d。

那么计算并没有那么困难，我发现：

uint64_t mult_with_overflow_check(uint64_t a, uint64_t b) {
  if (a > b) return mult_with_overflow_check(b, a);
  if (a > UINT32_MAX) overflow();
  uint32_t c = b >> 32;
  uint32_t d = UINT32_MAX & b;
  uint64_t r = a * c;
  uint64_t s = a * d;
  if (r > UINT32_MAX) overflow();
  r <<= 32;
  return addition_with_overflow_check(s, r);
}

所以这是两次乘法，两次移位，一些加法和条件检查。这可能比除法更有效，因为例如两个乘法可以并行流水线化。您必须进行基准测试，看看哪种方法更适合您。

Answer 2

它可能无法检测到确切的溢出，但通常您可以在对数尺度上测试乘法结果：

if (log(UINT64_MAX-1) - log(a) - log(b) < 0) overflow_detected(); // subtracting 1 to allow some tolerance when the numbers are converted to double
else prod = a * b;

这取决于您是否真的需要进行精确到 UINT64_MAX 的乘法运算，否则这是检查大数乘法的一种非常便携且方便的方法。

Answer 3

case 6:
    for (a = 0; a < N; a++) {
        uint64_t b = a + c;
        uint64_t a1, b1;
        if (a > b) { a1 = a; b1 = b; }
        else       { a1 = b; b1 = a; }
        uint64_t cc = b1 * a1;
        c += cc;
        if (b1 > 0xffffffff) o++;
        else {
            uint64_t a1l = (a1 & 0xffffffff) + (a1 >> 32);
            a1l = (a1 + (a1 >> 32)) & 0xffffffff;
            uint64_t ab1l = a1l * b1;
            ab1l = (ab1l & 0xffffffff) + (ab1l >> 32);
            ab1l += (ab1l >> 32);
            uint64_t ccl = (cc & 0xffffffff) + (cc >> 32);
            ccl += (ccl >> 32);
            uint32_t ab32 = ab1l; if (ab32 == 0xffffffff) ab32 = 0;
            uint32_t cc32 = ccl; if (cc32 == 0xffffffff) cc32 = 0;
            if (ab32 != cc32) o++;
        }
    }
    break;

此方法将正常乘法的结果（可能溢出）与不会溢出的乘法结果进行比较。所有计算都是模数 (2^32 - 1)。

它比 Jens Gustedt 的方法更复杂并且（很可能）不快。

经过一些小的修改后，它可以乘以 96 位精度（但没有溢出控制）。更有趣的是，这种方法的思想可以用来检查一系列算术运算（乘法、加法、减法）的溢出。

回答了一些问题

首先，关于"your code is not portable"。是的，代码不可移植，因为它使用原始问题中要求的uint64_t。严格来说，您无法使用(u)int64_t 获得任何可移植的答案，因为标准并不要求它。

关于"once some overflow happens, you can not assume the result value to be anything"。标准说未签名的迭代器不能溢出。第 6.2.5 章，第 9 项：

涉及无符号操作数的计算永远不会溢出， 因为不能用生成的无符号整数类型表示的结果是 以比最大值大一的数字为模减少，可以是 由结果类型表示。

所以无符号 64 位乘法以 2^64 为模执行，不会溢出。

现在关于"logic behind"。 “哈希函数”在这里不是正确的词。我只使用以(2^32 - 1) 为模的计算。乘法的结果可以表示为n*2^64 + m，其中m是可见结果，n表示我们溢出了多少。由于2^64 = 1 (mod 2^32 - 1)，我们可以计算[true value] - [visible value] = (n*2^64 + m) - m = n*2^64 = n (mod 2^32 - 1)。如果n 的计算值不为零，则存在溢出。如果为零，则没有溢出。只有在n >= 2^32 - 1 之后才有可能发生任何冲突。这永远不会发生，因为我们检查了被乘数之一是否小于2^32。

Answer 4

其实乘法也可以用同样的原理：

uint64_t a;
uint64_t b;
...
if (b != 0 && a > UINT64_MAX / b) { // if you multiply by b, you get: a * b > UINT64_MAX
    < error >
}
uint64_t c = a * b;

对于有符号整数也可以进行类似操作，您可能需要为每个符号组合设置一个大小写。

Answer 5

有一些（希望是）有用答案的相关问题：Best way to detect integer overflow in C/C++。此外，它不只涵盖uint64_t ;)