在 close() 上检查错误的原因是什么？

Question

注意：请在将其标记为重复之前阅读到最后。虽然相似，但我在答案中寻找的范围超出了上一个问题所要求的范围。

我倾向于同意的广泛实践倾向于将close 纯粹视为文件描述符的资源分配函数，而不是具有有意义的失败案例的潜在 IO 操作。事实上，在the resolution of issue 529 之前，POSIX 在错误发生后未指定文件描述符的状态（即是否仍被分配），因此无法以任何有意义的方式对错误做出可移植的响应。

然而，许多 GNU 软件不遗余力地检查来自 close 的错误，而 Linux man page for close 称未能这样做是“常见但仍然严重的编程错误”。 NFS 和配额被引用为close 可能产生错误但未提供详细信息的情况。

在现实世界的系统中，close 可能在哪些情况下失败，它们与今天是否相关？我特别想知道是否有任何现代系统close 因任何非 NFS、非设备节点特定原因以及 NFS 或设备相关故障在什么条件下（例如配置）失败他们可能会被看到。

Answer 1

考虑您的问题的反面：“在什么情况下我们可以保证close 会成功？”答案是：

• 当你正确调用它时，并且
• 当您知道该文件所在的文件系统在此操作系统和内核版本中不会从 close 返回错误时

如果您确信您的程序没有任何逻辑错误并且您可以完全控制内核和文件系统，那么您不需要检查close 的返回值。

否则，您必须问问自己，您对诊断close 的问题有多关心。我认为出于诊断目的检查和记录错误是有价值的：

• 如果编码器出现逻辑错误并将无效的 fd 传递给 close，那么您将能够快速找到它。这可能有助于在导致问题之前及早发现错误。
• 如果用户在close 确实在（例如）数据未刷新时返回错误的环境中运行程序，那么您将能够快速诊断出数据损坏的原因。这是一个简单的危险信号，因为您知道错误不应该发生。

Answer 2

曾几何时（2007 年 3 月 24 日），Eric Sosman 在 comp.lang.c 新闻组中分享了以下故事：

（首先让我承认一个小小的善意谎言：这不是 fclose() 其失败未被检测到，但 POSIX close() 功能;这部分应用程序使用了 POSIX I/O。谎言 但是，它是无害的，因为 C I/O 设施将具有 以完全相同的方式失败，并且未检测到的失败将 产生了同样的后果。我将描述发生的事情 C 的 I/O 条款，以避免过多地关注 POSIX。）

情况与 Richard Tobin 所描述的非常相似。 该应用程序是一个文档管理系统，它加载了一个 文档文件到内存中，将用户的编辑应用到in- 内存复制，然后在被告知时将所有内容写入新文件 保存编辑。它还保持了一个级别的“旧版本” 为安全起见备份：保存操作写入临时 文件，然后如果成功，它会删除旧的备份， 将旧文档文件重命名为备份名称，并将 临时文件到文档。 bak -> 垃圾，doc -> bak，tmp -> doc。

write-to-temp-file 步骤检查了几乎所有内容。这 fopen()，很明显，还有所有的 fwrite()，甚至是 final 检查 fflush() 是否有错误指示——但 fclose() 不是。在一个系统上，最后几个磁盘发生 直到 fclose() 才真正分配块——I/O 系统位于 VMS 的低级文件访问机制之上，以及一个 安排中固有的一点点异步性。

客户的系统启用了磁盘配额，并且 受害者正接近他的极限。他打开一个文件， 编辑了一段时间，保存了他迄今为止的工作，并超越了他的 配额——因为没有出现错误而未被检测到 直到未选中的 fclose()。以为保存成功， 应用程序丢弃了旧备份，重命名了原始备份 文档成为备份，并将截断的临时文件重命名 文件成为新文件。用户工作时间长了一点 并再次保存——同样的事情，只是这次你会注意到 唯一幸存的完整文件被删除，并且 备份和主文档文件被截断。结果： 整个文档文件都变成了垃圾，而不仅仅是最新的会话 工作，但一切都过去了。

正如墨菲所说，受害者是该公司的老板 为我们购买了数百个许可证的部门 软件，我有幸飞往圣路易斯成为 扔给狮子。

[...]

在这种情况下，fclose() 的失败（如果检测到）会 停止删除和重命名序列。用户本来是 告诉“嘿，保存文档时出现问题；做点什么 关于它，然后再试一次。与此同时，磁盘上没有任何变化。” 即使他无法保存他最新的一批作品，他也会 至少没有失去之前的一切。