如何使用C斷言來使代碼更安全？

Question

閱讀雜項。與SDL開發相關的教程我發現了兩個不同的例子，以相同的方式做了相同的事情，但方式不同。我想知道從代碼「安全性」和可維護性的角度來看，你認爲哪兩個是正確的。

在第一個示例，程序員不使用斷言在所有，但代碼看起來行（至少對於我的眼睛）：

int main(){ 
     SDL_Surface *screen; 

     /** Initialize SDL */ 
     if(SDL_Init(SDL_INIT_VIDEO)!=0){ 
       fprintf(stderr,"Unable to initialize SDL: %s",SDL_GetError()); 
     } 
     atexit(SDL_Quit); 

     /** Sets video mode */ 
     screen=SDL_SetVideoMode(640,480,16,SDL_HWSURFACE); 
     if(screen==NULL){ 
       fprintf(stderr,"Unable to set video mode: %s",SDL_GetError()); 
     } 

     return (0); 
} 

在第二示例中，程序員[其他]是使用不同的方法，像（代碼是不完全粘貼複製）：

int main(){ 
     SDL_Surface* screen; 

     /** Initialize SDL */ 
     assert(SDL_Init(SDL_INIT_VIDEO)==0); 
     atexit(SDL_Quit); 

     /** Sets video mode */ 
     screen=SDL_SetVideoMode(640,480,16,SDL_HWSURFACE); 
     assert(screen!=NULL); 

     return (0); 
} 

是否確定的，如果條件（從第一個例子）「替代」與斷言像在第二個例子嗎？

什麼是正確的策略（如果有的話）？

Answer 1

做這個替換是不行的。第二個示例是錯誤，因爲assert(x)被擴展爲沒有任何在非調試版本（當定義了NDEBUG時）。這意味着上面的assert中的指針檢查已從發佈版本中的代碼中移除。這絕對是錯誤的。因此，何時應該使用assert？對於記錄和調試是有用的。在某種程度上，你說：「我確信這個條件是真的，並且把它作爲assert在調試過程中捕獲錯誤的代碼，並將條件記錄到代碼的讀者。」

所以，這兩個例子之間有很大的差異。對於檢查返回值malloc,assert是錯誤的，因爲不能保證它們會返回非NULL，正如我上面提到的，assert(x)意味着「我完全確信x是真實的」，而不僅僅是「If x是不正確的，這是不好的「。爲此，一個使用if(x) good(); else bad();控制。

SDL_Init和SDL_SetVideoMode可以分別返回-1和NULL。

Answer 2

assert應該在出現意外情況時以意想不到的方式使用。通常，如果斷言失敗，則意味着程序中存在錯誤。斷言是而不是用於可能發生的預期錯誤（即無法打開文件，無法初始化某些內容等）。

在你介紹的例子中，assert似乎不是最合乎邏輯的解決方案。當程序無法初始化SDL時，以結構化的方式告訴用戶更有意義而不是拋出斷言（這可能導致某些系統出現seg-fault）。

Answer 3

斷言語句通常只用於調試構建，並會暫停程序，並經常允許您闖入調試器。在發佈版本中可能還是有意義的，以檢查錯誤情況。一種簡單的方法可能是這樣的：

assert(condition); 
if (!condition) 
    handle error; 

Answer 4

我使用assertion來記錄先決條件和後置條件。 （函數的識別意圖）

如..

double positive_division(double dividend, double divisor) 
{ 
    //preconditions 
    ASSERT(dividend>=0); 
    ASSERT(divisor >0); 

    double quotient = dividend/divisor; 

    //postconditions  
    ASSERT(quotient>=0); 
    return quotient; 
}