เหตุใด Clang / LLVM จึงเตือนฉันเกี่ยวกับการใช้ค่าเริ่มต้นในคำสั่ง switch ที่ครอบคลุมทุกกรณีที่แจกแจง?

พิจารณาคำสั่ง enum และ switch ต่อไปนี้:

typedef enum {
    MaskValueUno,
    MaskValueDos
} testingMask;

void myFunction(testingMask theMask) {
    switch (theMask) {
        case MaskValueUno: {}// deal with it
        case MaskValueDos: {}// deal with it
        default: {} //deal with an unexpected or uninitialized value
    }
};

ฉันเป็นโปรแกรมเมอร์ Objective-C แต่ฉันเขียนสิ่งนี้ใน C บริสุทธิ์สำหรับผู้ชมที่กว้างขึ้น

Clang / LLVM 4.1 ด้วย - ทุกอย่างเตือนฉันที่บรรทัดเริ่มต้น:

ฉลากเริ่มต้นในสวิตช์ซึ่งครอบคลุมค่าการแจงนับทั้งหมด

ทีนี้ฉันสามารถดูว่าทำไมถึงมีอยู่: ในโลกที่สมบูรณ์แบบค่าเดียวที่เข้าสู่การโต้แย้งtheMaskจะอยู่ใน enum ดังนั้นจึงไม่จำเป็นต้องมีค่าเริ่มต้น แต่จะเกิดอะไรขึ้นถ้าแฮ็กบางตัวเข้ามาและส่ง int ที่ไม่ได้กำหนดค่าเริ่มต้นไปยังฟังก์ชันที่สวยงาม ฟังก์ชั่นของฉันจะได้รับการจัดวางไว้ในห้องสมุดและฉันไม่สามารถควบคุมสิ่งที่จะเข้าไปได้ การใช้defaultเป็นวิธีการจัดการที่เป็นระเบียบ

ทำไม LLVM gods จึงเห็นว่าพฤติกรรมนี้ไม่คู่ควรกับอุปกรณ์ที่ไม่ดีของพวกมัน? ฉันควรจะนำหน้าด้วยคำสั่ง if เพื่อตรวจสอบการโต้แย้ง?

ต่อไปนี้เป็นเวอร์ชันที่ไม่ได้รับผลกระทบจากการรายงานปัญหาหรือเสียงที่คุณกำลังป้องกัน:

void myFunction(testingMask theMask) {
    assert(theMask == MaskValueUno || theMask == MaskValueDos);
    switch (theMask) {
        case MaskValueUno: {}// deal with it
        case MaskValueDos: {}// deal with it
    }
}

Killian ได้อธิบายแล้วว่าทำไมเสียงดังกราวส่งเสียงเตือน: ถ้าคุณขยาย enum คุณจะตกอยู่ในกรณีเริ่มต้นซึ่งอาจไม่ใช่สิ่งที่คุณต้องการ สิ่งที่ต้องทำคือการลบกรณีเริ่มต้นและรับคำเตือนสำหรับเงื่อนไขที่ไม่สามารถจัดการได้

ตอนนี้คุณกังวลว่ามีใครบางคนสามารถเรียกฟังก์ชั่นของคุณด้วยค่าที่อยู่นอกเหนือการแจกแจง ฟังดูเหมือนล้มเหลวที่จะทำตามข้อกำหนดเบื้องต้นของฟังก์ชั่น: มีการบันทึกไว้เพื่อคาดหวังค่าจากการtestingMaskแจงนับ แต่โปรแกรมเมอร์ได้ผ่านสิ่งอื่นไปแล้ว เพื่อให้ว่าข้อผิดพลาดโปรแกรมเมอร์ใช้assert()(หรือNSCAssert()ตามที่คุณบอกว่าคุณกำลังใช้ Objective-C) ทำให้โปรแกรมของคุณทำงานผิดพลาดโดยมีข้อความอธิบายว่าโปรแกรมเมอร์กำลังทำผิดถ้าโปรแกรมเมอร์ทำผิด

การมีdefaultป้ายกำกับที่นี่เป็นตัวบ่งชี้ว่าคุณสับสนเกี่ยวกับสิ่งที่คุณคาดหวัง เนื่องจากคุณได้หมดไปได้ทั้งหมดenumค่าอย่างชัดเจนที่defaultไม่อาจจะดำเนินการและคุณไม่จำเป็นต้องใช้เพื่อป้องกันการเปลี่ยนแปลงในอนาคตอย่างใดอย่างหนึ่งเพราะถ้าคุณขยายenumแล้วจะสร้างแล้วสร้างการเตือน

ดังนั้นคอมไพเลอร์สังเกตเห็นว่าคุณได้ครอบคลุมทุกฐาน แต่ดูเหมือนจะคิดว่าคุณไม่ได้และนั่นเป็นสัญญาณที่ไม่ดีเสมอ ด้วยการใช้ความพยายามเพียงเล็กน้อยในการเปลี่ยนเป็นswitchรูปแบบที่คาดหวังคุณจะแสดงให้เห็นถึงคอมไพเลอร์ว่าสิ่งที่คุณดูเหมือนจะทำคือสิ่งที่คุณกำลังทำจริง ๆ และคุณก็รู้

เสียงดังกังวานสับสนโดยมีคำสั่งเริ่มต้นที่มีการฝึกฝนที่ดีอย่างสมบูรณ์มันเป็นที่รู้จักกันในนามการเขียนโปรแกรมเชิงป้องกันและถือว่าเป็นแนวปฏิบัติที่ดีในการเขียนโปรแกรม (1) มันถูกใช้อย่างมากมายในระบบที่มีความสำคัญต่อภารกิจแม้ว่าอาจจะไม่ใช่ในการเขียนโปรแกรมเดสก์ท็อปก็ตาม

วัตถุประสงค์ของการตั้งโปรแกรมการป้องกันคือการจับข้อผิดพลาดที่ไม่คาดคิดซึ่งในทางทฤษฎีแล้วจะไม่เกิดขึ้น ข้อผิดพลาดที่ไม่คาดคิดเช่นนี้ไม่จำเป็นว่าโปรแกรมเมอร์จะให้ฟังก์ชั่นอินพุตที่ไม่ถูกต้องหรือแม้แต่ "แฮ็คที่ชั่วร้าย" มีโอกาสมากขึ้นที่อาจเกิดจากตัวแปรที่เสียหาย: บัฟเฟอร์มากเกินไป, ล้นล้น, รหัสรันอะเวย์และข้อบกพร่องที่คล้ายกันซึ่งไม่เกี่ยวข้องกับฟังก์ชั่นของคุณอาจทำให้เกิดสิ่งนี้ และในกรณีของระบบฝังตัวตัวแปรอาจเปลี่ยนแปลงได้เนื่องจาก EMI โดยเฉพาะถ้าคุณใช้วงจรแรมภายนอก

สำหรับสิ่งที่เขียนไว้ในคำสั่งเริ่มต้น ... หากคุณสงสัยว่าโปรแกรมนั้นมีปัญหาเมื่อคุณลงเอยที่นั่นคุณต้องจัดการข้อผิดพลาดบางอย่าง ในหลายกรณีคุณอาจเพียงแค่เพิ่มคำสั่งที่ว่างเปล่าที่มีความคิดเห็น: "ไม่คาดคิด แต่ไม่สำคัญ" ฯลฯ เพื่อแสดงว่าคุณได้ให้ความคิดกับสถานการณ์ที่ไม่น่าเป็นไปได้

(1) MISRA-C: 2004 15.3

ยังดีกว่า:

typedef enum {
    MaskValueUno,
    MaskValueDos,

    MaskValue_count
} testingMask;

void myFunction(testingMask theMask) {
    assert(theMask >= 0 && theMask<MaskValue_count);
    switch theMask {
        case MaskValueUno: {}// deal with it
        case MaskValueDos: {}// deal with it
    }
};

นี่เป็นข้อผิดพลาดน้อยเมื่อเพิ่มรายการใน enum คุณสามารถข้ามการทดสอบสำหรับ> = 0 หากคุณทำให้ค่า enum ของคุณไม่ได้ลงนาม วิธีนี้ใช้ได้เฉพาะเมื่อคุณไม่มีช่องว่างในค่า enum ของคุณ แต่มักจะเป็นกรณี

แต่จะเกิดอะไรขึ้นถ้าแฮ็คบางตัวเข้ามาและใส่ int ที่ไม่มีการกำหนดค่าไว้ในฟังก์ชั่นที่สวยงามของฉัน

จากนั้นคุณจะได้พฤติกรรมที่ไม่ได้กำหนดและคุณdefaultจะไร้ความหมาย ไม่มีอะไรที่คุณสามารถทำได้เพื่อทำให้ดีขึ้น

ให้ฉันชัดเจนยิ่งขึ้น ทันทีที่มีคนส่งผ่านค่าเริ่มต้นintไปยังฟังก์ชันของคุณนั่นคือพฤติกรรมที่ไม่ได้กำหนด ฟังก์ชั่นของคุณสามารถแก้ปัญหาการหยุดชะงักและไม่เป็นไร มันคือ UB ไม่มีอะไรที่คุณสามารถทำได้เมื่อมีการเรียกใช้ UB

คำสั่งเริ่มต้นไม่จำเป็นต้องช่วย หากสวิตช์อยู่เหนือ enum ค่าใด ๆ ที่ไม่ได้กำหนดไว้ใน enum จะสิ้นสุดลงในการเรียกใช้งานพฤติกรรมที่ไม่ได้กำหนด

สำหรับทุกสิ่งที่คุณรู้คอมไพเลอร์สามารถรวบรวมสวิตช์นั้น (พร้อมค่าเริ่มต้น) เป็น:

if (theMask == MaskValueUno)
  // Execute something MaskValueUno code
else // theMask == MaskValueDos
  // Execute MaskValueDos code

เมื่อคุณทริกเกอร์พฤติกรรมที่ไม่ได้กำหนดจะไม่มีการย้อนกลับ

ฉันยังต้องการที่จะมีdefault:ในทุกกรณี ฉันไปงานเลี้ยงตามปกติ แต่ ... ความคิดอื่นที่ฉันไม่เห็นด้านบน:

• คำเตือนเฉพาะ (หรือข้อผิดพลาดหากมีการขว้างปา-Werror) มาจาก-Wcovered-switch-default( -Weverythingแต่ไม่ใช่-Wall) หากความยืดหยุ่นทางศีลธรรมของคุณอนุญาตให้คุณปิดคำเตือนบางอย่าง (เช่นตัดบางสิ่งจาก-Wallหรือ-Weverything) พิจารณาการขว้างปา-Wno-covered-switch-default(หรือ-Wno-error=covered-switch-defaultเมื่อใช้-Werror) และโดยทั่วไป-Wno-...สำหรับคำเตือนอื่น ๆ ที่คุณเห็นว่าไม่เหมาะสม
• สำหรับgcc(และพฤติกรรมทั่วไปมากขึ้นในclang) ปรึกษาgccmanpage สำหรับ-Wswitch, -Wswitch-enum, -Wswitch-defaultสำหรับ (แตกต่างกัน) พฤติกรรมในสถานการณ์ที่คล้ายกันของระบุชนิดในงบสวิทช์

• ฉันไม่ชอบคำเตือนในแนวคิดนี้และฉันไม่ชอบถ้อยคำของมัน สำหรับฉันคำจากคำเตือน ("ป้ายกำกับเริ่มต้น ... ครอบคลุมค่าทั้งหมด ... ") แนะนำว่าdefault:กรณีจะต้องถูกดำเนินการเสมอเช่น

  switch (foo) {
    case 1:
      do_something(); 
      //note the lack of break (etc.) here!
    default:
      do_default();
  }

  การอ่านครั้งแรกนี้คือสิ่งที่ผมคิดว่าคุณกำลังวิ่งเข้า - ที่ของคุณdefault:กรณีที่จะได้รับการดำเนินการเพราะไม่มีbreak;หรือreturn;หรือคล้ายกัน แนวคิดนี้เป็นที่คล้ายกัน (กับหูของฉัน) เพื่อพี่เลี้ยงสไตล์อื่น ๆ (แม้จะมีประโยชน์ในบางครั้ง) clangความเห็นที่พ่นออกมาจาก หากfoo == 1ทั้งสองฟังก์ชั่นจะถูกดำเนินการ รหัสของคุณด้านบนมีพฤติกรรมนี้ นั่นคือล้มเหลวในการแยกออกเฉพาะในกรณีที่คุณต้องการที่จะทำให้รันโค้ดจากกรณีที่ตามมา! อย่างไรก็ตามสิ่งนี้ดูเหมือนจะไม่เป็นปัญหาของคุณ

เมื่อมีความเสี่ยงในการเป็นคนพูดพล่อยๆ

• อย่างไรก็ตามฉันคิดว่าพฤติกรรมนี้สอดคล้องกับการตรวจสอบประเภทที่ก้าวร้าวในภาษาอื่นหรือคอมไพเลอร์ หากในขณะที่คุณตั้งสมมติฐานว่าการเยาะเย้ยบางอย่างจะพยายามส่งผ่านintหรือบางสิ่งบางอย่างไปยังฟังก์ชั่นนี้ซึ่งมีเจตนาชัดเจนว่าจะบริโภครูปแบบเฉพาะของคุณเองคอมไพเลอร์ของคุณควรปกป้องคุณอย่างเท่าเทียมกัน แต่มันไม่ได้! (นั่นคือมันดูเหมือนว่าอย่างน้อยgccและclangไม่ได้ทำenumประเภทการตรวจสอบ แต่ผมได้ยินว่าiccไม่ ) เนื่องจากคุณไม่ได้รับประเภทความปลอดภัยคุณสามารถรับค่าความปลอดภัยตามที่กล่าวไว้ข้างต้น มิฉะนั้นตามที่แนะนำใน TFA ให้พิจารณาstructหรือสิ่งที่สามารถให้ความปลอดภัยประเภท
• วิธีแก้ปัญหาอื่นอาจจะสร้างใหม่ "คุ้มค่า" ในenumเช่นMaskValueIllegalและไม่สนับสนุนว่าในของคุณcase switchที่จะถูกกินโดยdefault:(นอกเหนือจากค่าแปลกประหลาดอื่น ๆ )

ป้องกันการถ่ายทอดสดนาน!

นี่คือข้อเสนอแนะทางเลือก:
OP พยายามป้องกันกรณีที่มีคนผ่านไปในintที่ที่คาดว่าจะเป็นenum หรือมีโอกาสมากขึ้นที่บางคนเชื่อมโยงไลบรารีเก่ากับโปรแกรมที่ใหม่กว่าโดยใช้ส่วนหัวที่ใหม่กว่าซึ่งมีหลายกรณี

ทำไมไม่เปลี่ยนสวิตช์เพื่อจัดการintเคส? การเพิ่มการร่ายหน้าค่าในสวิตช์ช่วยกำจัดคำเตือนและยังให้ระดับของคำใบ้เกี่ยวกับสาเหตุที่มีค่าเริ่มต้น

void myFunction(testingMask theMask) {
    int maskValue = int(theMask);
    switch(maskValue) {
        case MaskValueUno: {} // deal with it
        case MaskValueDos: {}// deal with it
        default: {} //deal with an unexpected or uninitialized value
    }
}

ฉันพบนี้มากน้อยรังเกียจกว่าassert()การทดสอบแต่ละค่าเป็นไปได้หรือแม้กระทั่งการทำสมมติฐานที่ว่าช่วงของenumค่าเป็นอย่างดีที่สั่งซื้อเพื่อให้ง่ายงานทดสอบ นี่เป็นเพียงวิธีที่น่าเกลียดในการทำสิ่งที่ค่าเริ่มต้นทำอย่างแม่นยำและสวยงาม