Почему в Си допускается переполнение массива?

Question

[IndusDev]

Столкнулся с проблемой.
Почему строковый массив может переполняться без какой-либо ошибки?
При объявлении, например, char c[10], я могу дать значение c[12] и вывести его. Почему так происходит?

Answer 1

[Дмитрий]

Потому что это проверка на переполнение даёт лишние накладные расходы при выполнении. Изначально язык разрабатывался с расчётом на эффективность, с девизом что-то типа: «не нужно платить за то, чем не пользуешься».

По сути, Си — это просто высокоуровневый ассемблер. В ассемблере нет понятия ошибок вообще, всё на плечах разработчика. Если ему нужно проверять на переполнение, он сам должен реализовать этот функционал, а не терять на этом производительность, когда ему это не нужно.

Answer 2

[MiiNiPaa]

В С операция индексирования это синтаксический сахар над операциями с указателями: по стандарту а[b] полностью эквивалентно *(a+b). Это, кстати, позволяет весёлые штуки вроде 4[a]. Поэтому операция индексирования не может иметь иного поведения нежели операции над указателями.

Ещё С не занимается управлением памятью, отдавая это на откуп программиста. Поэтому, в общем случае, проверить принадлежит какая-либо область памяти массиву невозможно - этим занимается программист (если ему это нужно)

Также С исповедует принцип "не плати за то, что не нужно". Большинству людей не нужна проверка границ массивов. Те кому нужна, могут сделать её самостоятельно.

Comments

[Толстый Лорри]

в общем случае, проверить принадлежит какая-либо область памяти массиву невозможно

А как об этом узнает sizeof() и free()? (=

[15432]

Толстый Лорри: sizeof применим только для структур известного размера и при компиляции заменяется на число. free использует служебные поля, заполненные при выделении памяти (так что система может знать размер выделенной области), но это не входит в стандарт языка и может быть реализовано в системе любыми способами или вовсе отсутствовать.

[MiiNiPaa]

Толстый Лорри: free передаёт указатель аллокатору. Если там не указатель, который вернул malloc - случится может что угодно. Вообще free наплевать на то, массив там, или одна переменная (точнее с его точки зрения существуют только области памяти). В зависимости от того как реализован стандартный аллокатор - он может как сломаться от того, что указатель, который вернул malloc, сдвинули на 1 байт, так и отработать корректно, если ему дадут указатель за пределами конца участка оригинально выделенной памяти.

sizeof работает только с массивами на стеке, и только если они не превратились в указатель (вообще массивы настолько хрупки, что передать их в функцию как массивы (а не указатели) очень сложно). Вообще большая часть компиляторов предупреждает, если индекс выходит за границы массива в таких случаях (так как это не стоит ничего в рантайме)

[Толстый Лорри]

MiiNiPaa: выходит, размер все-таки где-то хранится и это возможно, пусть и будет хаком (=

Вообще большая часть компиляторов предупреждает, если индекс выходит за границы массива в таких случаях (так как это не стоит ничего в рантайме)

Только в очень очевидных случаях, ибо проверка не рантаймовая.

[MiiNiPaa]

Толстый Лорри: Далеко не факт. Аллокатору в С достаточно знать только размер выделенной области памяти. Если аллокатор выделяет память кратно 1кб, то независимо от того 8 или 28 чисел в массиве, выделится один и тот-же размер. К тому же, он может и не хранить ничего, а полагаться на аллокатор ОС. (В С++, к примеру, аллокатору придётся хранить размер массива нетривиальных классов, так как ему потом нужное количество деструкторов вызывать).

Вообще, ЕМНИП валгринд использует служебную информацию о выделенной памяти, чтобы ловить нелегальный доступ к памяти.

Answer 3

[Ocelot]

Расплата за скорость работы программы. Си - довольно низкоуровневый язык. Повыше ассемблера, но не сильно. С одной стороны, быстрый и лёгкий код, за счет отсутствия кучи проверок. С другой - куча возможностей отстрелить себе ноги по самый копчик. Не следил за границами массивов - сам виноват.

Answer 4

[ralaton121]

Потому что это идеология такая у Си.
Си - это как бы ассемблер, но чуть поудобнее. И все на ответственность программиста.

Дополнительные проверки можно включить в настройках компилятора. Но это заметно влияет на производительность. Впрочем, для очень многих задач - разница не критична.

Как вариант - используйте "статические анализаторы".
Они проверяют код на подозрительные места не во время исполнения, поэтому можно и скорость максимизировать и ошибок избежать.

Answer 5

[CityCat4]

Потому что С - низкоуровневый язык. Как уже говорили, a[b] - всего лишь иная форма записи *(a+b), что позволяет делать мнооооожество финтов ушами :) man memmove например почитайте :) - это вообще адЪ :) Существует множество либ, содержащих например те же strcpy, strcat, strstr, но обвешанные различными проверками - кому надо, тот их использует.

Comments

[RedHairOnMyHead]

С - низкоуровневый язык

Близок к низкоуровневому, но является высокоуровневым.
© Классификация

Answer 6

[jcmvbkbc]

Почему строковый массив может переполняться без какой-либо ошибки?

Потому что диагностика такой ошибки не требуется от реализаци. Есть реализации диагностирующе такие ошибки, например gcc + ASAN.