Forum: PC-Programmierung Rückgabewert von strlen() unsigned, aber warum?

Erst wenn Du es schaffst eine Zeichenkette mit negativer Länge zu 
schreiben, wirst Du auch den negativen Wertebereich brauchen.
Es gab mal Zeiten, da waren Variablen sehr "teuer" und es machte einen 
großen Unterschied, ob Du von 0 bis 255 Zählen konntest oder nur bis 127 
(wenn auch in beiden Richtungen).

zitter_ned_aso schrieb:
> warum benutzt man bei dem Rückgabewert von strlen(...) einen unsigned
> Datentyp (size_t)? Warum kein signed Datentyp?

Ähm, weil ein String keine negative Länge haben kann?

> Man kommt bis 0 und bekommt dann einen Überlauf.

Unterlauf.

Daher, alle "Lösungen" die irgendwo "strlen(s) - 1" enthalten sind 
höchstwahrscheinlich falsch (nicht falsch kann es dann sein, wenn 
implizit oder explizit der Typ vor der Subtraktion konvertiert wird).

1

size_t len = strlen(s);

2

for(size_t ui = 0; ui < len; ui++) {

3

    putchar(s[len - ui]);

4

}

5

6

char *p = s + strlen(s);

7

while(p > s) {

8

  putchar *--p;

9

}

mh schrieb:
>

1

> size_t str_len = strlen(str);

2

> for(size_t i=0; i<str_len; ++i) {

3

>     putchar(str[str_len-i-1]);

4

5

Ja, die -1 habe ich da vergessen. Ich wollte das mit etwas anders fixen:

6

7

[c]

8

for(size_t i = 1; i <= str_len; ++i) {

9

     putchar(str[str_len - i]);

zitter_ned_aso schrieb:
> Denn dort wird von vorne durch das Array iteriert. Und jedes mal die
> Funktion strchr(...) aufgerufen. Ist der Aufruf von strlen(...) wirklich
> so teuer? Warum macht man es so?

Wenn du von vorne durchgehst, musst du nur einmal durch.
Wenn du erst das Ende suchst und dann wieder zurück, musst du im Zweifel 
zweimal durch.

strlen() fasst sowieso schon jedes Zeichen an.

zitter_ned_aso schrieb:
> Ich fliege doch bei solchen Sachen immer aus dem Array raus,

solange du nicht auf Element außerhalb vom Array zugreifst sondern nur

> vergleiche mit einer Adresse, die außerhalb meines Arrays liegt.

ist doch alles in Ordnung.

Sebastian S. schrieb:
> Es gab mal Zeiten, da waren Variablen sehr "teuer" und es machte einen
> großen Unterschied, ob Du von 0 bis 255 Zählen konntest oder nur bis 127

"unsigned" hatte nie weniger als 16 Bits.

zitter_ned_aso schrieb:
> ich hätte die Eins abgezogen und nicht dazu addiert.

Du kannst so auch nach der '\0' suchen

zitter_ned_aso schrieb:
> mh schrieb:
>> shall not produce an overflow
>
> ich interpretiere es mal als "wird nicht" ;-)

Es ist eine Anforderung an den Compiler, also ja - auf einem konformen 
Compiler wird kein Overflow stattfinden.

Dirk B. schrieb:
> zitter_ned_aso schrieb:
>> Ich fliege doch bei solchen Sachen immer aus dem Array raus,
>
> solange du nicht auf Element außerhalb vom Array zugreifst sondern nur
>
>> vergleiche mit einer Adresse, die außerhalb meines Arrays liegt.
>
> ist doch alles in Ordnung.

Es gilt nicht nur für den Zugriff, sondern auch für die 
Pointer-Arithmetik selbst.

A. K. schrieb:
> Sebastian S. schrieb:
>> Es gab mal Zeiten, da waren Variablen sehr "teuer" und es machte einen
>> großen Unterschied, ob Du von 0 bis 255 Zählen konntest oder nur bis 127
>
> "unsigned" hatte nie weniger als 16 Bits.

Wir sprechen zwar nicht von unsigned, sondern von size_t, aber auch da 
ist das Minimum bei 16 Bit. Aber auch bei einem size_t von 16 Bit Größe 
macht es einen Unterschied, ob das größte Objekt oder Array 32767 oder 
65535 Bytes groß sein kann.

zitter_ned_aso schrieb:
> zitter_ned_aso schrieb:
>> ich hätte die Eins abgezogen und nicht dazu addiert.
>
> nein, weder abziehen noch dazu addieren.

Nein, beides wäre falsch. Dazuaddieren ist korrekt.

Dass size_t unsigned ist ist einfach ein Fehler im Design der STL. Das 
sehe nicht nur ich so: 
https://github.com/ericniebler/stl2/issues/182#issuecomment-257000171
Das klang halt mal schlau, war es aber eigentlich nicht.

Die Begründung "aber der Index in einem Array ist immer positiv" klingt 
zwar irgendwie logisch, führt aber in der Praxis eher zu mehr Fehlern 
als zu weniger. Eigentlich muss ich mir gar keinen Text überlegen, der 
verlinkte Post hat das schon perfekt formuliert:

> Use of unsigned ints in interfaces isn't the boon many
> people think it is. If by accident a user passes a slightly
> negative number to the API, it suddenly becomes a huge positive
> number. Had the API taken the number as signed, then it can
> detect the situation by asserting the number is greater than
> or equal to zero.

Ein C-String ist bei der ersten '\0' zuende. Und das ist auch die 
letzte.

Wenn du ein Array durchsuchen möchtest, musst du mem-Funktionen nehmen.

zitter_ned_aso schrieb:
> Aber ich kenne auch keine negativen Buchstaben, trotzdem gibt getchar()
> einen "signed int"-Wert zurück.

getchar liest ja nicht nur Buchstaben ein.
und neben dem Wertebereich von char wollte man noch EOF erkennen können.

zitter_ned_aso schrieb:
> Die Begründung war, dass es keinen Text mit negativer Länge gibt. Daher
> muss der Rückgabewert von strlen(...) immer positiv sein.

Die Erklärung ist historisch korrekt, aber eine gute faktische 
Begründung für dieses Design ist das nicht.

zitter_ned_aso schrieb:
> Aber ich kenne auch keine negativen Buchstaben, trotzdem gibt getchar()
> einen "signed int"-Wert zurück.

Ich kenne auch keine positiven Buchstaben. Also wäre in der Hinsicht 
unsigned auch nicht besser. Geschickter wäre es gewesen, wenn C einen 
eigenen Typ für Text hätte, mit dem man gar nicht rechnen kann, so wie 
es das bei vielen anderen Sprachen auch gibt.

zitter_ned_aso schrieb:
> Dirk B. schrieb:
>> Ein C-String ist bei der ersten '\0' zuende. Und das ist auch die
>> letzte.
>
> Das ist ein Argument.

So ist es auch für die Funktion strrchr definiert. Das erste '\0' (und 
nur das) muss als Teil des Strings angesehen werden, kann also auch 
damit gesucht werden.

> und warum wird dann bei strncpy(...) alles mit Nullen aufgefüllt, wenn
> die Länge von source kleiner als num ist?

Weil strncpy Schrott ist. Wenn die Länge von source größer als num ist, 
wird gar kein '\0' angehängt, und destination ist kaputt, weil kein 
gültiger C-String.

> Warum reicht nicht ein '\0'-Zeichen?

Eigentlich reicht es.

Sven B. schrieb:
> zitter_ned_aso schrieb:
>> Die Begründung war, dass es keinen Text mit negativer Länge gibt. Daher
>> muss der Rückgabewert von strlen(...) immer positiv sein.
>
> Die Erklärung ist historisch korrekt, aber eine gute faktische
> Begründung für dieses Design ist das nicht.

Warum nicht? Warum soll man einen Typ mit einem Vorzeichen verwenden für 
etwas, das nicht negativ sein kann? size_t wird auch an vielen anderen 
Stellen für die Größe von Objekten verwendet, wie z.B. sizeof, malloc 
u.s.w.
Auch hier hat man sich entschlossen, für Objektgrößen einen 
vorzeichenlosen Typ zu verwenden, da Objekte niemals eine negative Größe 
haben können.
Und wenn size_t voreichenbehaftet wäre, dann würde das die maximale 
Größe von Objekten halbieren. Also könnten auf einem System, wo size_t 
16 Bit breit ist, Objekte/Arrays/Strings nur noch maximal 32767 statt 
65535 Bytes lang sein, weil man die Hälfte des Wertebereichs des Typs 
verschenkt, um nie vorkommende negative Zahlen darstellen zu können.

Rolf M. schrieb:
> Warum nicht? Warum soll man einen Typ mit einem Vorzeichen verwenden für
> etwas, das nicht negativ sein kann?

Weil man mit dem Größen rechnen will, und in den abgeleiteten Rechnungen 
machen negative Zahlen oft Sinn, und die Konvertierung zwischen signed 
und unsigned die ganze Zeit verursacht dann viel mehr Probleme als sie 
löst.

> size_t wird auch an vielen anderen
> Stellen für die Größe von Objekten verwendet, wie z.B. sizeof, malloc
> u.s.w.
> Auch hier hat man sich entschlossen, für Objektgrößen einen
> vorzeichenlosen Typ zu verwenden, da Objekte niemals eine negative Größe
> haben können.

Ja, und es ist an jeder dieser Stellen ein Fehler. Sagt inzwischen auch 
das Konsortium, was das designt hat, ziemlich einstimmig. ;)

> Und wenn size_t voreichenbehaftet wäre, dann würde das die maximale
> Größe von Objekten halbieren. Also könnten auf einem System, wo size_t
> 16 Bit breit ist, Objekte/Arrays/Strings nur noch maximal 32767 statt
> 65535 Bytes lang sein, weil man die Hälfte des Wertebereichs des Typs
> verschenkt, um nie vorkommende negative Zahlen darstellen zu können.

Das spielt quasi nie eine Rolle. Dieses Problem tritt nur dann auf, wenn 
du mehr als halb so viele einzelne Bytes in einem Array hast wie deine 
Plattform insgesamt an virtuellem Speicher addressieren kann. Wann kommt 
das bitte vor?
In diesem Supersonderspezialfall auf irgendeiner obskuren 
16-Bit-Plattform könntest du dir die nötige Funktion dann mit größerem 
Rückgabetyp einfach selber schreiben.

Sven B. schrieb:
> Rolf M. schrieb:
>> Warum nicht? Warum soll man einen Typ mit einem Vorzeichen verwenden für
>> etwas, das nicht negativ sein kann?
>
> Weil man mit dem Größen rechnen will, und in den abgeleiteten Rechnungen
> machen negative Zahlen oft Sinn, und die Konvertierung zwischen signed
> und unsigned die ganze Zeit verursacht dann viel mehr Probleme als sie
> löst.

Warum "die ganze Zeit"? Wenn du mit dem Ergebnis deines strlen() 
vorzeichenbehaftet rechnen willst, konvertierst du es einfach genau 
einmal in was vorzeichenbehaftetes, und fertig.

> Dieses Problem tritt nur dann auf, wenn du mehr als halb so viele einzelne
> Bytes in einem Array hast wie deine Plattform insgesamt an virtuellem Speicher
> addressieren kann.

Nein. C sagt nicht, dass man mit einem size_t den gesamten Speicher 
erreichen können muss, sondern nur den Speicher eines Objekts. Beispiel: 
x86 im Real Mode. Der hat 1 MB Adressraum und 64k große Segmente. size_t 
ist entsprechend 16 Bit breit, und damit kann ein Objekt ein komplettes 
Segment, also 64k groß werden. Wäre es vorzeichenbehaftet, gingen nur 
32k, und das nur, um auch negative Größen darstellen zu können.

> In diesem Supersonderspezialfall auf irgendeiner obskuren
> 16-Bit-Plattform könntest du dir die nötige Funktion dann mit größerem
> Rückgabetyp einfach selber schreiben.

So supersonderspeziell waren PCs mit DOS eigentlich nicht.

Rolf M. schrieb:
>> Weil man mit dem Größen rechnen will, und in den abgeleiteten Rechnungen
>> machen negative Zahlen oft Sinn, und die Konvertierung zwischen signed
>> und unsigned die ganze Zeit verursacht dann viel mehr Probleme als sie
>> löst.
>
> Warum "die ganze Zeit"? Wenn du mit dem Ergebnis deines strlen()
> vorzeichenbehaftet rechnen willst, konvertierst du es einfach genau
> einmal in was vorzeichenbehaftetes, und fertig.

Und dann konvertiere ich es genau einmal wieder zurück, um es wieder als 
Index verwenden zu können. Und vergesse dabei nicht, vorher zu prüfen, 
ob das Ergebnis kleiner null ist. Damit habe ich genau dieselben 
möglichen Fehlerklassen wie mit Signed, plus zwei nutzlose 
Konvertierungen. Plus die neue Fehlerklasse, dass ich die Konvertierung 
vergesse und einen Overflow produziere!

> Nein. C sagt nicht, dass man mit einem size_t den gesamten Speicher
> erreichen können muss, sondern nur den Speicher eines Objekts. Beispiel:
> x86 im Real Mode. Der hat 1 MB Adressraum und 64k große Segmente. size_t
> ist entsprechend 16 Bit breit, und damit kann ein Objekt ein komplettes
> Segment, also 64k groß werden. Wäre es vorzeichenbehaftet, gingen nur
> 32k, und das nur, um auch negative Größen darstellen zu können.

Ja, aber x86 im Real Mode verwendet halt seit 25 Jahren keiner mehr, 
außer ein Bios oder vergleichbares. Wenn das sein eigenes strlen 
implementieren muss, damit hunderte Millionen Entwickler ein besseres 
Design ihrer Hochsprache haben, finde ich das ok.

> So supersonderspeziell waren PCs mit DOS eigentlich nicht.

Aber heutzutage sind sie es, insbesondere als Ziel-Plattform neuer 
Software mit neuen Sprachstandards und neuen Tools. Deshalb ist das 
kein gutes Argument dafür, wie es jetzt sein sollte.

Sven B. schrieb:
> Ja, aber x86 im Real Mode verwendet halt seit 25 Jahren keiner mehr,
> außer ein Bios oder vergleichbares.

Nur ist C - und auch dessen Vorgabe, dass size_t vorzeichenlos ist - 
deutlich älter als das.

> Wenn das sein eigenes strlen implementieren muss, damit hunderte Millionen
> Entwickler ein besseres Design ihrer Hochsprache haben, finde ich das ok.

Ich nicht, denn ich zweifle an, dass der Vorteil so arg groß ist (und 
dass es "hunderte Millionen" von C-Entwicklern überhaupt gibt). Und es 
müsste nicht nur strlen sein, sondern nebenbei z.B. auch das komplette 
dynamische Speichermanagement. Und da man bei den Compilern in der Regel 
per Kommandozeilenoption wählen kann, welche Version des Sprachstandards 
umgesetzt werden soll, müsste das dann immer so ausgelegt sein, dass es 
mit beiden Varianten in sämtlichen Fällen problemlos funktioniert.

>> So supersonderspeziell waren PCs mit DOS eigentlich nicht.
>
> Aber heutzutage sind sie es, insbesondere als Ziel-Plattform neuer
> Software mit neuen Sprachstandards und neuen Tools.

Neue Versionen des C-Standards werden in der Regel so weit wie möglich 
kompatibel zu den alten gehalten, damit bestehender Code, der auf bisher 
zugesichertem Verhalten beruht, nicht ungültig wird. Da wird sehr viel 
Wert drauf gelegt.
Und wenn ich mir jetzt vorstelle, dass dem gcc im Modus des aktuellsten 
Standards plötzlich vorgeschrieben wird, eine andere Signedness für 
size_t zu verwenden als im Modus einer vorherigen Standard-Version, 
schreit das auch nach Ärger.

> Deshalb ist das kein gutes Argument dafür, wie es jetzt sein sollte.

Doch, ist es.

Rolf M. schrieb:
> So supersonderspeziell waren PCs mit DOS eigentlich nicht.

Nicht im Small und Medium Model von x86 C. Aber die Pointer vom Large 
Model lagen quer zur damaligen C Tradition, die von 
sizeof(int)==sizeof(int *) ausging.

A. S. schrieb:
> Du kannst doch mit unsigned genauso rechnen. Dafür ist es ja bei Über-
> und Unterlauf definiert und macht genau das, was Du willst.

Ne, ist halt einfach nicht so. Der Überlauf ist total sinnlos für jede 
reale Rechnung. In welchem Fall möchte ich denn irgendwas rechnen, wo 12 
- 17 = 4294967291 ist? Im Kontext von "Index in einer Liste"?

Was ich hingegen häufig will ist dass ich irgendeinen Vektor mit Werten 
habe, dann rechne ich aus, an welchem Index der Wert, den ich brauche, 
stehen müsste, und schaue dann, ob der in der gültigen Spanne enthalten 
ist: ist er < 0 oder >= len? Das geht mit unsigned nicht und man macht 
im Gegenteil mit unsigned hier mehr Fehler als mit signed.

> Falls Du das nicht so siehst, konstruiere doch gerne ein Beispiel, wo
> signed auch nur eine operation spart gegenüber unsigned.

Ich habe 50 Objekte die ich auf den Bildschirm malen will, mit 
x-Koordinate in einem virtuellen Koordinatensystem. Ich habe einen 
(vereinfacht in y nur 1 hohen) Buffer mit Pixeln, und eine Funktion int 
x_to_pixel(float xvirt). Mit signed sizes kann ich dies tun:

1

int x_to_pixel(float xvirt) {

2

  return static_cast<int>((xvirt + xzero) * zoom);

3

}

4

5

...

6

7

for (auto const& object: objects) {

8

  int const pos = x_to_pixel(object.xvirt);

9

  if (pos < 0 || pos >= buffer.size())

10

    continue;

11

  paint(object, buffer, pos);

12

}

Wie mache ich das äquivalent ähnlich einfach mit unsigned sizes?

Ich sollte noch hinzufügen dass ich natürlich verstehe, dass man das 
jetzt für C++ nicht mehr ändern kann ...  ist halt Pech. Man kann ja 
aber trotzdem daraus lernen, dass es Quatsch ist.

A. S. schrieb:
> Falls Du das nicht so siehst, konstruiere doch gerne ein Beispiel, wo
> signed auch nur eine operation spart gegenüber unsigned.

Das ist eigentlich ziemlich simpel. Es reicht etwa mit 32bit Werten 
etwas zu indexieren. Folgendes Snippet etwa ist aus dem bzip Source 
abgeleitet (© Chandler Carruth):
https://godbolt.org/z/qzb5nC

Im originalen Talk (siehe hier https://youtu.be/yG1OZ69H_-o) ist der 
Unterschied sogar noch größer und liegt laut Carruth auch noch in einem 
Hotpath.

mh schrieb:
> Vincent H. schrieb:
>> Das ist eigentlich ziemlich simpel. Es reicht etwa mit 32bit Werten
>> etwas zu indexieren.
>
> Das hat nichts mit dem Indizieren zu tun, sondern mit dem
> Inkrementieren. In der int Variante sagst du dem Compiler, dass es
> keinen Überlauf geben kann. Beim uint muss der Compiler den Fall
> behandeln.

Ja schon klar dass inkrement das "Problem" ist.

> Benutzt man keinen uint32_t, sondern size_t ist die unsigned Variante
> plötzlich besser.

Ich vermute der Code stammt aus einer Zeit in der size_t ebenfalls noch 
32bit breit war. Er erfüllt trotzdem die Fragestellung und ist in dieser 
Form immer noch im aktuellen bzip2 Source zu finden!

/edit
In blocksort.c

1

Bool mainGtU ( UInt32  i1, 

2

               UInt32  i2,

3

               UChar*  block, 

4

               UInt16* quadrant,

5

               UInt32  nblock,

6

               Int32*  budget )

Jemand schrieb:
> Sven B. schrieb:
>> Wie mache ich das äquivalent ähnlich einfach mit unsigned sizes?
>
> Da der /mixed-signedness/-Vergleich nur problematisch ist, wenn der
> int negativ ist, funktioniert das genau so wie es da steht, weil der
> Fall bereits vorher behandelt wird.

Verstehe ich nicht.

mh schrieb:
> Damit reicht der >= buffer.size() Vergleich aus.

Jetzt muss sich die pro-unsigned-Fraktion aber entscheiden: Dieses 
Argument oder das mit dem doppelt so großen addressierbarer Speicher? 
Beides geht nämlich nicht und verursacht auch super schwer zu findende 
Bugs.

Sven B. schrieb:
> mh schrieb:
>> Damit reicht der >= buffer.size() Vergleich aus.
>
> Jetzt muss sich die pro-unsigned-Fraktion aber entscheiden: Dieses
> Argument oder das mit dem doppelt so großen addressierbarer Speicher?
> Beides geht nämlich nicht

Stimmt, es geht immer nur eins von beiden. Wäre die Variable signed, 
ginge keins von beiden.

> und verursacht auch super schwer zu findende Bugs.

Und bei signed nicht?

mh schrieb:
> Du hast gefragt, wie es ähnlich einfach geht mit unsigned. Jetzt passt
> es dir nicht, wenn die Antwort nicht "besser" ist?

Ehrlich gesagt passt es mir nicht, weil ich die Verwendung des signed 
overflows an der Stelle für Murks halte, der ohne Kommentar nicht als 
Absicht zu erkennen ist. Und weil man durch Schreiben dieses Codes die 
in den letzten 10 Posts als großen Vorteil für unsigned verkaufte 
Eigenschaft, dass man den doppelten Speicher addressieren kann, in einen 
subtilen Bug konvertiert: denkt sich der Benutzer der API "naja, die 
Größe ist unsigned, da kann ich 4G Elemente reintun", macht die Funktion 
u.U. Mist, wenn sie den negativen Wertebereich zum Rechnen benötigt; 
wäre die Größe signed, wäre klar, dass nur 2G reinpassen.

mh schrieb:
> Ich würd es eh so regeln:

Naja, ok. Die Idee war ja schon, dass der Input (der Pixel) irgendwie 
auch als signed vs unsigned daherkommt. Die "x_to_pixel"-Funktion war 
das konstruierte Beispiel für das Äquivalent zum std::vector::size oder 
sowas. Wenn man da die Signatur ändert, wird das Beispiel witzlos. Hatte 
ich aber zugegebenermaßen nicht besonders klar formuliert.