您是否应该始终对 C 中的数字使用“int”，即使它们是非负数？

Question

我总是将 unsigned int 用于不应该为负数的值。但是今天我 在我的代码中注意到这种情况：

void CreateRequestHeader( unsigned bitsAvailable, unsigned mandatoryDataSize, 
    unsigned optionalDataSize )
{
    If ( bitsAvailable – mandatoryDataSize >= optionalDataSize ) {
        // Optional data fits, so add it to the header.
    }

    // BUG! The above includes the optional part even if
    // mandatoryDataSize > bitsAvailable.
}

我是否应该开始使用 int 而不是 unsigned int 作为数字，即使它们 不能是负数吗？

Answer 1

我似乎与这里的大多数人意见不一，但我发现 unsigned 类型非常有用，但不是它们的原始历史形式。

如果您因此坚持类型为您表示的语义，那么应该没有问题：使用size_t（无符号）表示数组索引、数据偏移等。off_t（有符号）表示文件偏移。使用ptrdiff_t（有符号）表示指针的差异。对小的无符号整数使用uint8_t，对有符号整数使用int8_t。并且您避免了至少 80% 的可移植性问题。

如果不能，请不要使用int、long、unsigned、char。它们属于历史书籍。 （有时你必须，错误返回，位域，例如）

回到你的例子：

bitsAvailable – mandatoryDataSize >= optionalDataSize

可以很容易地改写为

bitsAvailable >= optionalDataSize + mandatoryDataSize

这并不能避免潜在的溢出问题（assert 是你的朋友），但我认为它会让你更接近你想要测试的内容。

Answer 2

我应该一直...

“我应该总是……”的答案几乎肯定是“不”，有很多因素决定您是否应该使用数据类型 - 一致性很重要。

但是，这是一个非常主观的问题，真的很容易搞砸无符号：

for (unsigned int i = 10; i >= 0; i--);

导致无限循环。

这就是为什么包括Google's C++ Style Guide 在内的一些样式指南不鼓励unsigned 数据类型的原因。

在我个人看来，我没有遇到很多由这些无符号数据类型问题引起的错误——我会说使用断言来检查你的代码并明智地使用它们（在你执行算术时更少）。

Answer 3

答案是肯定的。 C 和 C++ 的“无符号”int 类型不是“始终为正整数”，无论该类型的名称是什么样的。如果您尝试将类型读取为“非负”，则 C/C++ 无符号整数的行为毫无意义......例如：

• 两个无符号之差是一个无符号数（如果您将其读作“两个非负数之差是非负数”，则毫无意义）
• int 和 unsigned int 相加是无符号的
• 存在从 int 到 unsigned int 的隐式转换（如果您将 unsigned 解读为“非负数”，那么相反的转换才有意义）
• 如果在有人传递负整数时声明一个接受无符号参数的函数，您只需将其隐式转换为一个巨大的正值；换句话说，使用无符号参数类型并不能帮助您在编译时和运行时发现错误。

确实，无符号数在某些情况下非常有用，因为它们是“整数-模-N”环的元素，其中 N 是 2 的幂。当您想使用该模数算术或作为位掩码时，无符号整数很有用；它们不能用作数量。

不幸的是，在 C 和 C++ 中，无符号数也被用来表示非负数，以便能够使用所有 16 位，而当时能够使用 32k 或 64k 的整数被认为是一个很大的区别。 .我基本上把它归类为历史事故......你不应该试图阅读其中的逻辑，因为没有逻辑。

顺便说一句，我认为这是一个错误……如果 32k 还不够，那么很快 64k 也不够了；在我看来，仅仅因为一个额外的位就滥用模整数是一项太高的成本。当然，如果存在或定义了适当的非负类型，这样做是合理的……但无符号语义将其用作非负是错误的。

有时您可能会发现谁说 unsigned 很好，因为它“记录”了您只需要非负值...但是该文档仅对实际上不知道 unsigned 如何适用于 C 的人具有任何价值或 C++。对我来说，看到用于非负值的无符号类型仅仅意味着编写代码的人不理解那部分的语言。

如果你真的理解并且想要无符号整数的“包装”行为，那么它们就是正确的选择（例如，当我处理字节时，我几乎总是使用“无符号字符”）；如果您不打算使用包装行为（并且在您显示的差异的情况下，这种行为对您来说只是一个问题），那么这清楚地表明无符号类型是一个糟糕的选择，您应该坚持使用纯整数。

这是否意味着 C++ std::vector<>::size() 返回类型是一个糟糕的选择？是的……这是一个错误。但是，如果您这么说，请准备好被谁不理解“未签名”名称只是一个名称而被称为坏名称……重要的是行为，那是“模-n”行为（并且没有人们会认为容器大小的“模n”类型是一个明智的选择）。

Answer 4

没有提到的一件事是交换有符号/无符号数字会导致安全漏洞。这是一个大问题，因为标准 C 库中的许多函数都采用/返回无符号数字（fread、memcpy、malloc 等都采用 size_t 参数）

例如，举一个无害的例子（来自真实代码）：

//Copy a user-defined structure into a buffer and process it
char* processNext(char* data, short length)
{
    char buffer[512];
    if (length <= 512) {
        memcpy(buffer, data, length);
        process(buffer);
        return data + length;
    } else {
        return -1;
    }
}

看起来无害，对吧？问题是length 是有符号的，但在传递给memcpy 时会转换为无符号。因此将长度设置为SHRT_MIN 将验证<= 512 测试，但会导致memcpy 将超过512 个字节复制到缓冲区 - 这允许攻击者覆盖堆栈上的函数返回地址并且（经过一些工作) 接管你的电脑！

你可能会天真地说，“很明显，长度需要为size_t 或检查为>= 0，我永远不会犯这个错误”。除了，我保证如果你曾经写过任何重要的东西，你有。 Windows、Linux、BSD、Solaris、Firefox、OpenSSL、Safari、MS Paint、Internet Explorer、Google Picasa1、@93 987654332@, Open Office, Subversion, Apache, Python, PHP, Pidgin, Gimp, ... 一直在继续 ... -这些都是聪明的人，他们的工作是了解安全性。

简而言之，始终使用size_t 作为尺寸。

伙计，programming is hard。

Answer 5

您应该使用无符号整数类型的一些情况是：

• 您需要将数据视为纯二进制表示。
• 您需要使用无符号数获得的模运算语义。
• 您必须与使用无符号类型的代码交互（例如，接受/返回 size_t 值的标准库例程。

但对于一般算术，问题是，当您说某事“不能为负数”时，这并不一定意味着您应该使用无符号类型。因为你可以在一个无符号数中放一个负值，只是当你把它取出来时它会变成一个非常大的值。因此，如果您的意思是禁止使用负值，例如对于基本平方根函数，那么您就是在陈述该函数的先决条件，并且您应该断言。你不能断言不能是的，是；您需要一种方法来保存带外值，以便您可以测试它们（这与 getchar() 背后的逻辑相同，返回 int 而不是 char。）

此外，有符号与无符号的选择也会对性能产生实际影响。看看下面的（人为的）代码：

#include <stdbool.h>

bool foo_i(int a) {
    return (a + 69) > a;
}

bool foo_u(unsigned int a)
{
    return (a + 69u) > a;
}

两个foo 都是相同的，只是它们的参数类型不同。但是，当使用c99 -fomit-frame-pointer -O2 -S 编译时，您会得到：

.文件“try.c” 。文本 .p2align 4,,15 .globl foo_i .type foo_i, @function foo_i： 移动 $1, %eax ret .size foo_i, .-foo_i .p2align 4,,15 .globl foo_u .type foo_u, @function foo_u： movl 4(%esp), %eax leal 69(%eax), %edx cmpl %eax, %edx 刚毛%al ret .size foo_u, .-foo_u .ident“GCC：（Debian 4.4.4-7）4.4.4” .section .note.GNU-stack,"",@progbits

您可以看到foo_i() 比foo_u() 更高效。这是因为标准将无符号算术溢出定义为“环绕”，因此如果a 非常大，(a + 69u) 很可能小于a，因此必须有针对这种情况的代码。另一方面，有符号算术溢出是未定义的，因此 GCC 将继续假设有符号算术 不会 溢出，因此 (a + 69) 不能 永远不会更少比a。因此，不加选择地选择无符号类型会不必要地影响性能。

Answer 6

C++ 的创造者 Bjarne Stroustrup 在他的《C++ 编程语言》一书中警告不要使用无符号类型：

无符号整数类型是理想的 用于将存储视为一点的用途 大批。使用无符号而不是 int 多获得一位来表示 正整数几乎从来不是 好主意。试图确保 通过声明一些值是正的 无符号变量通常是 被隐式转换打败 规则。

Answer 7

不，您应该使用适合您的应用程序的类型。没有黄金法则。有时在小型微控制器上，例如，尽可能使用 8 位或 16 位变量会更快，内存效率更高，因为这通常是本机数据路径的大小，但这是一种非常特殊的情况。我还建议尽可能使用 stdint.h。如果您使用的是 Visual Studio，则可以找到 BSD 许可版本。

Answer 8

如果有溢出的可能，则在计算过程中将值赋给下一个最高的数据类型，即：

void CreateRequestHeader( unsigned int bitsAvailable, unsigned int mandatoryDataSize, unsigned int optionalDataSize ) 
{ 
    signed __int64 available = bitsAvailable;
    signed __int64 mandatory = mandatoryDataSize;
    signed __int64 optional = optionalDataSize;

    if ( (mandatory + optional) <= available ) { 
        // Optional data fits, so add it to the header. 
    } 
} 

否则，只需单独检查值而不是计算：

void CreateRequestHeader( unsigned int bitsAvailable, unsigned int mandatoryDataSize, unsigned int optionalDataSize ) 
{ 
    if ( bitsAvailable < mandatoryDataSize ) { 
        return;
    } 
    bitsAvailable -= mandatoryDataSize;

    if ( bitsAvailable < optionalDataSize ) { 
        return;
    } 
    bitsAvailable -= optionalDataSize;

    // Optional data fits, so add it to the header. 
} 

Answer 9

来自 Eric Lipperts 的一篇博客文章中的 cmets（参见 here）：

杰弗里·L·惠特利奇

我曾经开发过一个系统，其中 负值毫无意义 参数，所以而不是验证 参数值是 非负数，我认为这将是一个 改用 uint 是个好主意。一世 很快发现，每当我 将这些值用于任何事物（例如 调用 BCL 方法），它们是 转换为有符号整数。这 意味着我必须验证 值没有超过签名 整数范围在顶端，所以我 一无所获。另外，每次 代码被调用，整数是 正在使用（通常从 BCL 收到 函数）必须转换为 单位。没过多久我 将所有这些 uint 改回 ints 并采取了所有不必要的演员 出去。我仍然需要验证 数字不是负数，而是代码 干净多了！

埃里克·利珀特

我自己说得再好不过了。 你几乎从不需要 a 的范围 uint，并且它们不符合 CLS。 表示小尺寸的标准方法 整数与“int”，即使有 里面的值是不是 范围。一个好的经验法则：只使用 "uint" 适用于您所处的情况 与非托管代码互操作 期望 uints，或者 有问题的整数显然被用作 一组位，而不是一个数字。总是 尽量避免在公共接口中使用它。 - 埃里克

Answer 10

假设您需要从 1 数到 50000。您可以使用 2 字节无符号整数，但不能使用 2 字节有符号整数（如果空间很重要的话）。

Answer 11

如果你的数字应该永远不会小于零，但有可能小于 0，那么一定要使用带符号的整数并散布断言或其他运行时检查。如果您实际使用 32 位（或 64 位或 16 位，取决于您的目标架构）值，其中最高位表示“-”以外的其他值，则应仅使用无符号变量来保存它们。在应该始终为正的数字比为零时更容易检测整数溢出，因此如果您不需要该位，请使用带符号的位。

Answer 12

在可移植代码中你不能完全避免无符号类型，因为标准库中的许多 typedef 都是无符号的（最明显的是 size_t），而且许多函数会返回这些类型（例如 std::vector<>::size()）。

也就是说，出于您所概述的原因，我通常更喜欢尽可能坚持使用签名类型。这不仅仅是您提出的情况 - 在混合有符号/无符号算术的情况下，有符号参数被悄悄提升为无符号。

Answer 13

(bitsAvailable – mandatoryDataSize) 在类型为无符号时产生“意外”结果的情况，bitsAvailable < mandatoryDataSize 是有时使用有符号类型的原因，即使预期数据永远不会为负。

我认为没有硬性规定 - 对于没有理由为负数的数据，我通常“默认”使用无符号类型，但是您必须确保算术包装不会暴露错误。

再一次，如果你使用有符号类型，你有时还是得考虑溢出：

MAX_INT + 1

关键是在对这些类型的错误进行算术运算时必须小心。

Answer 14

if (bitsAvailable >= optionalDataSize + mandatoryDataSize) {
    // Optional data fits, so add it to the header.
}

没有错误，只要mandatoryDataSize + optionalDataSize 不能溢出无符号整数类型——这些变量的命名让我相信很可能是这种情况。

Answer 15

我不知道它在 c 中是否可行，但在这种情况下，我只会将 X-Y 事物转换为 int。

Answer 16

您需要查看对变量执行的操作的结果，以检查您是否可以得到上溢/下溢 - 在您的情况下，结果可能是负面的。在这种情况下，您最好使用已签名的等价物。