代码安全性和健壮性：如何在if和assert中作选择？

道哥的第 023 篇原创

目录

• 1、前言
• 2、assert 断言
  • assert 是一个宏，不是一个函数
• 3、if VS assert
  • 1. 使用 if 语句来检查
  • 2. 使用 assert 断言来检查
  • 3. 你喜欢哪个？
  • 4. assert 的本质
  • 5. if-else 的本质
  • 6. 我喜欢的版本
• 5、总结

1、前言

咱们在撸代码的时候，常常须要对代码的安全性进行检查，例如：

1. 指针是否为空？
2. 被除数是否为 0？
3. 函数调用的返回结果是否有效？
4. 打开一个文件是否成功？

对这一类的边界条件进行检查的手段，通常都是使用 if 或者 assert 断言，不管使用哪个，均可以达到检查的目的。那么是否就意味着：这二者能够随便使用，想起来哪一个就用哪一个？

这篇小短文咱们就来掰扯掰扯：在不一样的场景下，究竟是应该用 if，仍是应该使用 assert 断言？

写这篇文章的时候，我想起了孔乙己老先生的那个问题：茴香豆的“茴”字有几种写法？

彷佛咱们没有必要来纠结应该怎么选择，由于都可以实现想要的功能。之前我也是这么想的，可是，如今我不这么认为。

成为技术大牛、拿到更好的offer，也许就在这些细微之间就分出了胜负。

2、assert 断言

刚才，我问了下旁边的一位工做 5 年多的嵌入式开发者：if 和 assert 如何选择？他说：assert 是干什么的？！

看来，有必要先简单说一下 assert 断言。

assert() 的原型是：

void assert(int expression);

1. 若是宏的参数求值结果为非零值，则不作任何操做（no action）；
2. 若是宏的参数是零值，就打印诊断消息，而后调用abort()。

例以下面的代码：

#include <assert.h>
int my_div(int a, int b)
{
    assert(0 != b);
    return a / b;
}

1. 当 b 不为 0 时，assert 断言什么都不作，程序往下执行；
2. 当 b 为 0 时，assert 断言就打印错误信息，而后终止程序；

从功能上来讲，assert(0 != b); 与下面的代码等价：

if (0 == b)
{
    fprintf(stderr, "b is zero...");
    abort();
}

assert 是一个宏，不是一个函数

在 assert.h 头文件中，有以下定义：

#ifdef NDEBUG
    #define assert(condition) ((void)0)
#else
    #define assert(condition) /*implementation defined*/
#endif

既然是宏定义，说明是在预处理的时候进行宏替换。(关于宏的更多内容，能够看一下这篇文章:提升代码逼格的利器：宏定义-从入门到放弃)。

从上面的定义中能够看到：

1. 若是定义了宏 NDEBUG，那么 assert() 宏将不作什么动做，也就是至关于一条空语句： (void)0;，当在 release 阶段编译代码的时候，都会在编译选项中(Makefile)定义这个宏。
2. 若是没有定义宏 NDEBUG，那么 assert() 宏将会把一些检查代码进行替换，咱们在开发阶段执行 debug 模式编译时，通常都会屏蔽掉这 NDEBUG 这个宏。

3、if VS assert

仍是以一个代码片断来描述问题，以场景化来讨论比较容易理解。

// brief: 把两个短字符串拼接成一个字符串
char *my_concat(char *str1, char *str2)
{
    int len1 = strlen(str1);
    int len2 = strlen(str2);
    int len3 = len1 + len2;
    char *new_str = (char *)malloc(len3 + 1);
    memset(new_str, 0 len3 + 1);
    sprintf(new_str, "%s%s", str1, str2);
    return new_str;
}

若是一个开发人员写出上面的代码，必定会被领导约谈的！它存在下面这些问题：

1. 没有对输入参数进行有效性检查；
2. 没有对 malloc 的结果进行检查；
3. sprintf 的效率很低；
4. ...

1. 使用 if 语句来检查

char *my_concat(char *str1, char *str2)
{
    if (!str1 || !str2)  // 参数错误
        return NULL;
        
    int len1 = strlen(str1);
    int len2 = strlen(str2);
    int len3 = len1 + len2;
    char *new_str = (char *)malloc(len3 + 1);
    
    if (!new_str)   // 申请堆空间失败
        return NULL;
    
    memset(new_str, 0 len3 + 1);
    sprintf(new_str, "%s%s", str1, str2);
    return new_str;
}

2. 使用 assert 断言来检查

char *my_concat(char *str1, char *str2)
{
    // 确保参数正确
    assert(NULL != str1);
    assert(NULL != str2);
    
    int len1 = strlen(str1);
    int len2 = strlen(str2);
    int len3 = len1 + len2;
    char *new_str = (char *)malloc(len3 + 1);
    
    // 确保申请堆空间成功
    assert(NULL != new_str);
    
    memset(new_str, 0 len3 + 1);
    sprintf(new_str, "%s%s", str1, str2);
    return new_str;
}

3. 你喜欢哪个？

首先声明一点：以上这 2 种检查方式，在实际的代码中都很常见，从功能上来讲彷佛也没有什么影响。所以，没有严格的错与对之分，不少都是依赖于每一个人的偏好习惯不一样而已。

（1） assert 支持者

我做为 my_concat() 函数的实现者，目的是拼接字符串，那么传入的参数必须是合法有效的，调用者须要负责这件事。若是传入的参数无效，我会表示十分的惊讶！怎么办：崩溃给你看！

（2）if 支持者

我写的 my_concat() 函数十分的健壮，我就预料到调用者会乱搞，故意的传入一些无效参数，来测试个人编码水平。没事，来吧，我能够处理任何状况！

这两个派别的理由彷佛都很充足！那究竟该如何选择？难道真的的跟着感受走吗？

假设咱们严格按照常规的流程去开发一个项目：

1. 在开发阶段，编译选项中不定义 NDEBUG 这个宏，那么 assert 就发挥做用；
2. 项目发布时，编译选项中定义了 NDEBUG 换个宏，那么 assert 就至关于空语句；

也就是说，只有在 debug 开发阶段，用 assert 断言才可以正确的检查到参数无效。而到了 release 阶段，assert 不起做用，若是调用者传递了无效参数，那么程序只有崩溃的命运了。

这说明什么问题？是代码中存在 bug？仍是代码写的不够健壮？

从我我的的理解上看，这压根就是单元测试没有写好，没有测出来参数无效的这个 case！

4. assert 的本质

assert 就是为了验证有效性，它最大做用就是：在开发阶段，让咱们的程序尽量地 crash。每一次的 crash，都意味着代码中存在着 bug，须要咱们去修正。

当咱们写下一个 assert 断言的时候，就说明：断言失败的这种状况是不能够的，是不被容许的。必须保证断言成功，程序才能继续往下执行。

5. if-else 的本质

if-else 语句用于逻辑处理，它是为了处理各类可能出现的状况。就是说：每个分支都是合理的，是容许出现的，咱们都要对这些分支进行处理。

6. 我喜欢的版本

char *my_concat(char *str1, char *str2)
{
    // 参数必须有效
    assert(NULL != str1);
    assert(NULL != str2);
    
    int len1 = strlen(str1);
    int len2 = strlen(str2);
    int len3 = len1 + len2;
    char *new_str = (char *)malloc(len3 + 1);
    
    // 申请堆空间失败的状况，是可能的，是容许出现的状况。
    if (!new_str)
        return NULL;
    
    memset(new_str, 0 len3 + 1);
    sprintf(new_str, "%s%s", str1, str2);
    return new_str;
}

对于参数而言：我认为传入的参数必须是有效的，若是出现了无效参数，说明代码中存在 bug，不容许出现这样的状况，必须解决掉。

对于资源分配结果(malloc 函数)而言：我认为资源分配失败是合理的，是有可能的，是容许出现的，并且我也对这个状况进行了处理。

固然了，并非说对参数检查就要使用 assert，主要是根据不一样的场景、语义来判断。例以下面的这个例子：

int g_state;
void get_error_str(bool flag)
{
    if (TRUE == flag)
    {
        g_state = 1;
        assert(1 == g_state); // 确保赋值成功
    }
    else
    {
        g_state = 0;
        assert(0 == g_state); // 确保赋值成功
    }
}

flag 参数表明不一样的分支状况，而赋值给 g_state 以后，必须保证赋值结果的正确性，所以使用 assert 断言。

5、总结

这篇文章分析了 C 语言中比较晦涩、模糊的一个概念，彷佛有点虚无缥缈，可是的确又须要咱们停下来仔细考虑一下。

若是有些场景，实在拿捏很差，我就会问本身一个问题：

这种状况是否被容许出现？

不容许：就用 assert 断言，在开发阶段就尽可能找出全部的错误状况；

容许：就用 if-else，说明这是一个合理的逻辑，须要进行下一步处理。

---

【原创声明】

转载：欢迎转载，但未经做者赞成，必须保留此段声明，必须在文章中给出原文链接。

---

不吹嘘，不炒做，不浮夸，认真写好每一篇文章！

欢迎 转发、分享给身边的技术朋友，道哥在此表示衷心的感谢！ 转发的 推荐语已经帮您想好了：

道哥总结的这篇总结文章，写得很用心，对个人技术提高颇有帮助。好东西，要分享！

---

推荐阅读

C语言指针-从底层原理到花式技巧，用图文和代码帮你讲解透彻
一步步分析-如何用C实现面向对象编程
我最喜欢的进程之间通讯方式-消息总线
物联网网关开发：基于MQTT消息总线的设计过程(上)
提升代码逼格的利器：宏定义-从入门到放弃
原来gdb的底层调试原理这么简单
利用C语言中的setjmp和longjmp，来实现异常捕获和协程
关于加密、证书的那些事
深刻LUA脚本语言，让你完全明白调试原理