04 防范表达式的失控 MISRA C规范.pdfVIP

编者按 :本文是《学习 MISRA C》系列连载讲座之四,共六讲 。 第一讲 :“‘安全第一’的 C 语言编程规范”,简述 MISRA C 的概况 。 第二讲 :“跨越数据类型的重重陷阱”,介绍规范的数据定义和操作方式 ,重点在隐式数据类型转换中的问题 。 第三讲 :“指针 、结构体 、联合体的安全规范”,解析如何安全而高效地应用指针 、结构体和联合体 。 第四讲 :“防范表达式的失控”,剖析 MISRA C 中关于表达式、函数声明和定义等的不 良使用习惯 ,最大限度 地减小各类潜在错误 。 第五讲 :“准确的程序流控制”,表述 C 语言中控制表达式和程序流控制的规范做法 。 第六讲 :“构建安全的编译环境”,讲解与编译器相关的规范编写方式 ,避免来自编译器的隐患 。 防 范 表 达 式 的 失 控 ■清华大学 　　卓开阔　邵贝贝 在 C 语言中,表达式是最重要的组成部分之一 ,几乎 所有的代码都由表达式构成 。表达式的使用如此广泛 ,读 1 　表达式的求值顺序 者也许会产生这样的疑问,像 + 、- 、 、/ 、 这样简单 首先 ,分析下面两段代码 。 的运算也会出现问题吗 ? 程序员在编写表达式时 ,往往带 　　问题 1 :执行以下程序 ,从串口依次输入 2 和 4 ,变量 有一些不良的习惯 。即使是编写很简单的表达式 ,这些不 re sult 将等于多少 ? 良习惯也可能造成隐患 ,这个小小的隐患甚至可能引起整 uint 8_t result ; 个系统的崩溃 。实际上 ,在程序调试过程中,表达式中存 result = uart_ Get Char () uart_ Get Char () ; 在的大部分隐患皆来源于程序员的主观臆测 , 即认为表达 / 这里 ,uint 8_t 表示 8 位无符号整数类型 ,“uint 8_t uart_ 式应该是按自己认为的方式执行 ,但结果可能完全相反 。 Get Char () ”是从串口接收一个 A SCII 字符的函数 。 / 这是因为程序设计语言或编译器的某些内在机制并不如 问题 2 :执行以下程序 ,变量 result 将等于多少 ? 我们所想的那样 。所有的编译器都遵从这一假定 :程序员 uint 8_t re sult ; 都是“神”,他们既了解编程语言的各种特性 ,也了解编译 uint 8_t t emp = 2 ; 器本身一些鲜为人知 的处理原则 。当然 , 程序员不是 re sult = t emp + + + - - t emp ; “神”。因此 ,程序员在编写程序的过程中需要小心地避免 也许读者会不假思索地写出结果 : 编译器“设置”的各种陷阱 ,而问题是有些时候很难预测下 第一题的答案是“- 2 ”, 即 re sult = 0x32 - 0x34 = 一步是否会踏上一个陷阱。 0xF E ; M ISRA C 规则中包含了大量关于表达式书写的规 第二题 的答案是“4 ”, 即 result = ( t emp + + ) + 范 ,最大程度地防范上述可能发生的错误 ,告诉程序员如 ( - - t emp) = 2 + 2 = 4 。 何编写规范的 C 语言表达式 。 推理过程看起来似乎是正确的 ,可是 ,程序的运算结 本文将首先深入剖析在编译器内部表达式的解析方 果是这样吗 ? 为了弄清楚这个 问题 , 看一下 C 语言中有 式 ,然后罗列和分析书写表达式过程中常见的不规范写 关运算符的规定 。 法 , 以帮助读者避免各种不良的编程习惯 。文中凡是未加