Est-ce que vous écrivez (vraiment) du code de sécurité d'exception?

Votre question fait une affirmation selon laquelle "écrire du code protégé contre les exceptions est très difficile". Je vais d'abord répondre à vos questions, puis à la question cachée qui se cache derrière elles.

Répondre à des questions

Est-ce que vous écrivez vraiment le code d'exception?

Bien sur que oui.

C'est le raison Java a perdu beaucoup de son attrait pour moi en tant que programmeur C++ (manque de sémantique RAII), mais je m'éloigne du sujet: c'est une question C++.

C'est en fait nécessaire lorsque vous devez travailler avec du code STL ou Boost. Par exemple, les threads C++ (boost::thread ou std::thread) lèveront une exception pour quitter normalement.

Etes-vous sûr que votre dernier code "prêt pour la production" est protégé contre les exceptions?

Pouvez-vous même en être sûr?

Écrire du code protégé contre les exceptions revient à écrire du code exempt d’erreurs.

Vous ne pouvez pas être sûr à 100% que votre code est protégé contre les exceptions. Mais ensuite, vous vous y efforcez, en utilisant des modèles connus et en évitant les anti-modèles connus.

Connaissez-vous et/ou utilisez-vous réellement des alternatives qui fonctionnent?

Il n’existe aucune alternative viable en C++ (c’est-à-dire que vous devez revenir en C et éviter les bibliothèques C++, ainsi que les surprises externes telles que Windows SEH).

Écrire un code sécurisé d'exception

Pour écrire un code sécurisé d'exception, vous devez connaître en premier == le niveau de sécurité des exceptions que vous écrivez.

Par exemple, un new peut générer une exception, mais l'attribution d'un paramètre intégré (par exemple, un int ou un pointeur) n'échoue pas. Un échange n'échouera jamais (n'écrivez jamais un échange), un std::list::Push_back peut lancer ...

Garantie d'exception

La première chose à comprendre est que vous devez pouvoir évaluer la garantie d'exception offerte par toutes vos fonctions:

1. none : Votre code ne devrait jamais offrir cela. Ce code va tout fuir, et tomber en panne à la toute première exception levée.
2. basic : C’est la garantie que vous devez au moins offrir, c’est-à-dire que si une exception est levée, aucune ressource n’est perdue et tous les objets sont encore entiers.
3. strong : Le traitement réussira ou lèvera une exception, mais s'il le lève, les données seront dans le même état que si le traitement n'avait pas commencé du tout (ceci donne un pouvoir transactionnel à C++)
4. nothrow/nofail : Le traitement aboutira.

Exemple de code

Le code suivant semble être correct comme C++, mais en vérité, il offre la garantie "aucune", et par conséquent, il n’est pas correct:

void doSomething(T & t)
{
   if(std::numeric_limits<int>::max() > t.integer)  // 1.   nothrow/nofail
      t.integer += 1 ;                              // 1'.  nothrow/nofail
   X * x = new X() ;                // 2. basic : can throw with new and X constructor
   t.list.Push_back(x) ;            // 3. strong : can throw
   x->doSomethingThatCanThrow() ;   // 4. basic : can throw
}

J'écris tout mon code avec ce type d'analyse en tête.

La garantie la plus basse offerte est basique, mais ensuite, l'ordre de chaque instruction rend la fonction entière "aucune", car si 3. lance, x va fuir.

La première chose à faire serait de rendre la fonction "basique", c'est-à-dire de mettre x dans un pointeur intelligent jusqu'à ce qu'il soit détenu en toute sécurité par la liste:

void doSomething(T & t)
{
   if(std::numeric_limits<int>::max() > t.integer)  // 1.   nothrow/nofail
      t.integer += 1 ;                              // 1'.  nothrow/nofail
   std::auto_ptr<X> x(new X()) ;    // 2.  basic : can throw with new and X constructor
   X * px = x.get() ;               // 2'. nothrow/nofail
   t.list.Push_back(px) ;           // 3.  strong : can throw
   x.release() ;                    // 3'. nothrow/nofail
   px->doSomethingThatCanThrow() ;  // 4.  basic : can throw
}

Maintenant, notre code offre une garantie "de base". Rien ne coulera et tous les objets seront dans un état correct. Mais nous pourrions offrir plus, c’est-à-dire la garantie forte. C’est là que peut devenir coûteux, et c’est pourquoi pas tous == Le code C++ est puissant. Essayons:

void doSomething(T & t)
{
   // we create "x"
   std::auto_ptr<X> x(new X()) ;    // 1. basic : can throw with new and X constructor
   X * px = x.get() ;               // 2. nothrow/nofail
   px->doSomethingThatCanThrow() ;  // 3. basic : can throw

   // we copy the original container to avoid changing it
   T t2(t) ;                        // 4. strong : can throw with T copy-constructor

   // we put "x" in the copied container
   t2.list.Push_back(px) ;          // 5. strong : can throw
   x.release() ;                    // 6. nothrow/nofail
   if(std::numeric_limits<int>::max() > t2.integer)  // 7.   nothrow/nofail
      t2.integer += 1 ;                              // 7'.  nothrow/nofail

   // we swap both containers
   t.swap(t2) ;                     // 8. nothrow/nofail
}

Nous avons réorganisé les opérations, en créant d'abord et en mettant X à sa valeur correcte. Si une opération échoue, alors t n'est pas modifié. Les opérations 1 à 3 peuvent donc être considérées comme "fortes": si quelque chose se lève, t n'est pas modifié et X ne fuira pas. parce qu'il appartient au pointeur intelligent.

Ensuite, nous créons une copie t2 de t et travaillons sur cette copie des opérations 4 à 7. Si quelque chose se produit, t2 est modifié, mais alors, t est toujours l'original. Nous offrons toujours la garantie forte.

Ensuite, nous échangeons t et t2. Les opérations d'échange doivent être nothrow en C++, espérons donc que l'échange que vous avez écrit pour T n'est pas notifié (si ce n'est pas le cas, réécrivez-le pour qu'il ne soit pas transmis).

Donc, si nous atteignons la fin de la fonction, tout réussit (pas besoin d'un type de retour) et t a sa valeur exceptée. S'il échoue, alors t a toujours sa valeur d'origine.

Maintenant, offrir la garantie forte peut coûter très cher, alors n'essayez pas d'offrir la garantie forte à tout votre code, mais si vous pouvez le faire sans coût (et l'optimisation en C++ et d'autres optimisations pourraient rendre tout le code ci-dessus sans coût) , alors fais-le. L'utilisateur de la fonction vous en remerciera.

Conclusion

Il faut un peu d’habitude pour écrire du code protégé contre les exceptions. Vous devrez évaluer la garantie offerte par chaque instruction que vous utiliserez, puis évaluer la garantie offerte par une liste d'instructions.

Bien sûr, le compilateur C++ ne sauvegardera pas la garantie (dans mon code, j'offre la garantie sous la forme d'une balise @warning doxygen), ce qui est un peu triste, mais cela ne devrait pas vous empêcher d'essayer d'écrire du code protégé contre les exceptions.

Échec normal vs bug

Comment un programmeur peut-il garantir qu'une fonction sans échec aura toujours du succès? Après tout, la fonction pourrait avoir un bogue.

C'est vrai. Les garanties d'exception sont supposées être offertes par un code sans bug. Mais alors, dans n'importe quelle langue, appeler une fonction suppose que celle-ci soit sans bug. Aucun code sain d'esprit ne se protège contre la possibilité qu'il ait un bogue. Écrivez le code du mieux que vous pouvez, puis offrez la garantie en supposant qu'il est exempt de bogues. Et s'il y a un bug, corrigez-le.

Les exceptions concernent les échecs de traitement exceptionnels, pas les bogues de code.

Derniers mots

Maintenant, la question est "Est-ce que ça vaut le coup?".

Bien sûr que si. Avoir une fonction "nothrow/no-fail" sachant que la fonction ne va pas échouer est une aubaine. Il en va de même pour une fonction "forte", qui vous permet d'écrire du code avec une sémantique transactionnelle, telle que des bases de données, avec des fonctions de validation/annulation, la validation étant l'exécution normale du code, les exceptions étant l'annulation.

Ensuite, la "base" est la moindre garantie que vous devriez offrir. Le langage C++ est un langage très puissant, avec ses portées, qui vous permettent d’éviter toute fuite de ressources (un dépanneur aurait du mal à offrir des ressources pour la base de données, la connexion ou les descripteurs de fichiers).

Donc, autant que je sache, cela est en vaut la peine.

Edit 2010-01-29: À propos du swap non-lancé

nobar a fait un commentaire qui, je crois, est tout à fait pertinent, car il fait partie de "comment rédigez-vous un code sécurisé d'exception":

• [moi] Un échange n'échouera jamais (n'écrivez même pas un échange de lancer)
• [nobar] C'est une bonne recommandation pour les fonctions personnalisées swap(). Il convient toutefois de noter que std::swap() peut échouer en fonction des opérations qu'il utilise en interne.

la valeur par défaut std::swap fera des copies et des assignations qui, pour certains objets, peuvent produire. Ainsi, le swap par défaut pourrait lancer, soit utilisé pour vos classes, soit même pour les classes STL. En ce qui concerne la norme C++, l’opération d’échange pour vector, deque et list ne lancera pas, alors qu’elle pourrait pour map si le foncteur de comparaison peut jeter sur la copie construction (voir Le langage de programmation C++, édition spéciale, annexe E, E.4.3.Échange).

En regardant l'implémentation Visual C++ 2008 du swap de vecteur, le swap de vecteur ne sera pas lancé si les deux vecteurs ont le même allocateur (c'est-à-dire le cas normal), mais en effectuera des copies s'ils ont des allocateurs différents. Et donc, je suppose que cela pourrait jeter dans ce dernier cas.

Ainsi, le texte original est toujours valable: n'écrivez jamais un échange de lancement, mais rappelez-vous du commentaire de nobar: veillez à ce que les objets que vous échangez aient un échange sans lancement.

Edit 2011-11-06: Article intéressant

Dave Abrahams , qui nous a donné les garanties de base/fortes/nothrow , décrit dans un article son expérience concernant la sécurisation de l'exception STL:

http://www.boost.org/community/exception_safety.html

Regardez le septième point (Test automatisé pour la sécurité des exceptions), où il s’appuie sur des tests unitaires automatisés pour s’assurer que chaque cas est testé. Je suppose que cette partie est une excellente réponse à la question de l'auteur "Pouvez-vous même en être sûr?".

Edit 2013-05-31: Commentaire de dionadar

t.integer += 1; n'a pas la garantie que le débordement ne se produira PAS, sauf exception, et peut en fait invoquer techniquement UB! (Le débordement signé est UB: C++ 11 5/4 "Si, lors de l'évaluation d'une expression, le résultat n'est pas défini mathématiquement ou s'il ne figure pas dans la plage de valeurs pouvant être représentées pour son type, le comportement est indéfini.") Notez que non signé les nombres entiers ne débordent pas, mais font leurs calculs dans une classe d’équivalence modulo 2 ^ # bits.

Dionadar se réfère à la ligne suivante, qui a en effet un comportement indéfini.

   t.integer += 1 ;                 // 1. nothrow/nofail

La solution ici est de vérifier si le nombre entier est déjà à sa valeur maximale (en utilisant std::numeric_limits<T>::max()) avant de faire l'addition.

Mon erreur irait dans la section "Échec normal contre bogue", c’est-à-dire un bogue. Cela n'invalide pas le raisonnement et ne signifie pas non plus que le code protégé contre les exceptions est inutile car impossible à atteindre. Vous ne pouvez pas vous protéger contre la mise hors tension de l'ordinateur, ni contre les bogues du compilateur, ni même vos bogues, ou d'autres erreurs. Vous ne pouvez pas atteindre la perfection, mais vous pouvez essayer de vous rapprocher le plus possible.

J'ai corrigé le code en gardant à l'esprit le commentaire de Dionadar.