c - 运算符优先级和自动提升(避免溢出)

Question

找到一些以字节为单位的数据大小是一种常见的操作。

人为的例子：

char *buffer_size(int x, int y, int chan_count, int chan_size)
{
    size_t buf_size = x * y * chan_count * chan_size;  /* <-- this may overflow! */
    char *buf = malloc(buf_size);
    return buf;
}

这里最明显的错误是int会溢出（例如23171x23171 RGBA字节缓冲区）。

乘以3个或更多的值时提升的规则是什么？（乘以一对值很简单）

我们可以安全地播放它，然后进行投射：

size_t buf_size = (size_t)x * (size_t)y * (size_t)chan_count * (size_t)chan_size;

另一种选择是添加括号以确保乘法和提升的顺序是可预测的（并且对之间的自动提升按预期工作）...

size_t buf_size = ((((size_t)x * y) * chan_count) * chan_size;

...可行，但我的问题是。



是否有确定的方法可以将3个或更多的值相乘以确保它们将自动提升？（避免溢出）

还是这种不确定的行为？



笔记...


在这里使用 size_t不会防止溢出，它只是防止溢出该类型的最大值。
在给出的示例中，也可以将参数也设为 size_t是有意义的，但这不是此问题的重点。

Answer 1

在C（和C ++）中，算术运算符的类型确定如下：


使用“常规算术转换”将两个操作数转换为相同类型。
这就是结果的类型。



许多期望算术或枚举类型的操作数的二进制运算符都以类似的方式引起转换并产生结果类型。目的是产生一个通用类型，它也是结果的类型。这种模式称为通常的算术转换[注1] [注2]


没有其他规则，因此具有两个或更多运算符的表达式没有特殊情况。根据语法，每个操作都是独立键入的。

结果类型不会自动扩大以避免或减少溢出的可能性；操作数都转换为通用类型“这也是结果的类型”。因此，如果将两个int相乘，结果将为int，溢出将导致不确定的行为。 [注3]

语言的语法精确地定义了完整表达式的分组方式，并且需要评估以符合语法。表达式a + b + c的结果必须与表达式(a + b) + c相同，因为语法要求该分组。编译器可以视需要重新安排计算，前提是它可以证明对于所有有效输入而言，结果在语义上都是相同的。但是它不能决定更改任何运算符的结果类型。 a + b + c必须具有以下类型，该类型是通过将通常的算术转换应用于a和b的类型，然后再次将其应用于该类型和c的类型而得到的。 [注4]

C标准的第6.3.1.8节（“常规算术转换”）和C ++的§5（表达式）简介第10段中详细介绍了常规的算术转换。粗略地说，它是这样的：


如果两个操作数都是浮点数，则两个操作数都将转换为两种类型中的较大者；如果一个操作数是浮点数，则另一个转换为该浮点数类型。
否则，如果两个操作数都是有符号整数类型，则它们都将转换为两种类型中最宽的类型和int。
否则，如果两个操作数都是至少等于unsigned int的无符号整数类型，则它们都将转换为这两种类型中的较大者。


[注5]

现在，以a * b * c * d为例，其中a，b，c和d均为int，并且希望产生一个size_t。

在语法上，该表达式等效于(((a * b) * c) * d)，并且通常逐个运算地应用通常的算术转换。如果使用强制转换（a）将size_t转换为(size_t)a * b * c * d，则将应用转换，就像将其括在括号中一样。因此，操作数和(size_t)a * b的结果将是size_t，因此(size_t)a * b * c的结果也将是(size_t)a * b * c * d。换句话说，所有操作数都将转换为无符号size_t值，所有乘法将作为无符号size_t乘法执行。这是明确定义的，但如果任何值恰好为负，则可能毫无意义。

第二个或第三个乘法可能会超出size_t的容量，但是由于size_t是无符号的，因此计算将以2N为模，其中N是size_t中的值位数。因此，从避免溢出的意义上讲，转换是不安全的，但至少可以避免不确定的行为。



笔记


引用来自C ++标准的§5，第10段。C标准的§6.3.1.8版本稍微复杂一些，因为C11包含复杂的算术类型。对于整数（和非复杂浮点）操作数，C和C ++具有相同的语义。
移位运算符是例外，这就是为什么它说“许多二进制运算符”的原因。移位运算符的结果类型恰好是其左操作数的（可能是提升的）类型，而与右操作数的类型无关。所有按位运算符都限于整数，因此涉及实数的“常规算术转换”部分不适用于那些运算符。
如果将两个unsigned int相乘，则结果将为unsigned int，并且为所有值定义了计算：


涉及无符号操作数的计算永远不会溢出，
因为无法用所得的无符号整数类型表示的结果的模数要比以该所得类型可以表示的最大值大一的模数减少。 （C§6.2.5/ 9）

在这一点上，C和C ++标准都非常清楚，并包括将其带回家的示例。通常，有符号整数和浮点运算符都不是关联的，因此，如果该计算仅涉及无符号整数算术运算，则可能只能重新组合和重新排列该计算。

在C标准的§5.1.2.3中的示例6和在C ++标准的§1.9中的第9段中，将出现禁止整数算术重新组合的情况的示例。 （这是相同的示例。）假设我们有一台具有16位int的计算机，其中有符号的溢出会导致陷阱。在这种情况下，a = a + 32760 + b + 5;不能重写为a = (a + b) + 32765;：


如果a和b的值分别为-32754和-15，则a + b的总和将产生陷阱，而原始表达式则不会。

这些是简单，无麻烦的情况。通常，您应尽量避免其他情况，但请注意：

一个。在上述操作发生之前，如果两个操作数的类型均比int窄，则该操作数将被提升为int或unsigned int。通常，即使未签名，它也会被提升为int。仅当int的宽度不足以表示类型的所有值时，操作数才会提升为unsigned int。例如，在大多数体系结构上，unsigned char操作数将被提升为int，而不是unsigned int（尽管char和int宽度相同的体系结构是可能的，但它们并不常见。）

b。最后，如果一种类型是带符号的，而另一种是无符号的，则它们都将转换为：


无符号类型（如果其宽度至少与有符号类型一样）。 （例如unsigned int * int => unsigned int）
签名类型（如果它足够宽以容纳未签名类型的所有值）。 （例如，如果unsigned int宽于long long，则long long * long long => int）
如果上述情况均不成立，则为与已签名类型对应的未签名类型。