[轉(zhuǎn)]http://www.shnenglu.com/tiandejian/archive/2007/10/04/ec_29.html
第29條: 力求使代碼做到“異常安全”
異常安全看上去像是孕育生命�,但是請您先把這種觀點暫時放在腦后����。因為在一對戀人結(jié)婚之前���,討論生育問題還為時尚早��。
假設(shè)我們正在設(shè)計一個表示 GUI 菜單的類�,這種菜單是有背景圖片的����,這個類用于多線程環(huán)境中,所以它擁有一個互斥鎖來確保正常的并發(fā)控制:
class PrettyMenu {
public:
...
void changeBackground(std::istream& imgSrc); // 更改背景圖片
...
private:
Mutex mutex; // 本對象使用的互斥鎖
Image *bgImage; // 當前的背景圖片
int imageChanges; // 圖片更改的次數(shù)
};
下面是 PrettyMenu 的 changeBackground 函數(shù)實現(xiàn)的一個備選方案:
void PrettyMenu::changeBackground(std::istream& imgSrc)
{
lock(&mutex); // 請求上鎖 ( 同第 14 條 )
delete bgImage; // 刪除舊的背景圖片
++imageChanges; // 更新圖片改變的次數(shù)
bgImage = new Image(imgSrc); // 裝載新的背景圖片
unlock(&mutex); // 解鎖
}
從異常安全的角度來說�,這個函數(shù)簡直一無是處�。異常安全的兩個基本要求�,這個函數(shù)完全沒有考慮到。
當拋出異常時����,異常安全的代碼應(yīng)該做到:
l 不 要泄漏資源���。 上面的代碼沒有進行這項檢測��,這是因為如果 “ new Image(imgSrc) ” 語句產(chǎn)生了異常 ,那么對 unlock 的調(diào)用則永遠不會兌現(xiàn)��,這樣互斥鎖將永遠不會被解開����。
l 不能讓數(shù)據(jù)結(jié)構(gòu)遭到破壞。 如果“ new Image(imgSrc) ”拋出異常, bgImage 就會指向一個已經(jīng)銷毀的對象�����。另外�,無論新的圖形是否裝載成功����, imageChanges 的數(shù)值都會增加���。(從另一個角度說�����,舊的圖形肯定是被刪除了,那么你又怎么能確保圖形被“改變”了呢�����。)
處理資源泄漏問題還是比較簡單的�����,因為第 13 條中介紹過如何使用對象來管理資源���,第 14 條中介紹過如何通過 Lock 類確?����;コ怄i在適當?shù)臅r候被解開:
void PrettyMenu::changeBackground(std::istream& imgSrc)
{
Lock ml(&mutex); // 來自第 14 條的經(jīng)驗:
// 申請一個互斥鎖,并適時解鎖
delete bgImage;
++imageChanges;
bgImage = new Image(imgSrc);
}
能夠讓函數(shù)變得更短���,是諸如 Lock 這樣的資源管理類最讓人興奮的事情之一。你是否注意到:這里甚至不需要調(diào)用 unlock �。更短的代碼就是更優(yōu)秀的代碼����,因為代碼越短�,它帶來錯誤和誤解的機會就越少�����。這是一條通用的準則��。
把資源泄漏問題放在一旁,讓我們把注意力集中在數(shù)據(jù)結(jié)構(gòu)破壞的問題上����。這里我們可以進行一次選擇�,但是在進行選擇之前��,我們首先要了解所需要的幾個術(shù)語��。
異常安全函數(shù)做出的保證可以總結(jié)為三個層面:
l 提供基本保證的函數(shù)會做出這樣的承諾:如果拋出了一個異常,那么程序中的一切都將保持合法的狀態(tài)��。沒有任何對象或數(shù)據(jù)結(jié)構(gòu)會遭到破壞����,所有的對象的內(nèi)部都保持協(xié)調(diào)的狀態(tài)(比如說所有類不變式都得到滿足)。然而,程序的具體狀態(tài)可能是無法預(yù)知的�。比如說�����,我們可以這樣編 寫 changeBackground :如果某一時刻拋出一個異常,那么 PrettyMenu 對象可能繼續(xù)使用舊的背景圖片�����,也可以用某個默認的背景圖片來代替�。但是客戶端程序員無法做出任何預(yù)測。(為了找到答案��,客戶端程序員大概會調(diào)用某個能告訴他們當前背景圖片是什么的成員函數(shù)�����。)
l 提供增強保證的函數(shù)會做出這樣的承諾:如果拋出了一個異常,那么函數(shù)的狀態(tài)將保持不變。這樣的函數(shù)看上去與原子有些相像�,因為如果調(diào)用成功了���,它就會大獲全勝����;一旦出了差錯����,那么就會一敗涂地���,程序狀態(tài)將顯示它從來沒有被調(diào)用過��。
使用提供強保證的的函數(shù)要比使用僅提供基本保證的函數(shù)簡單一些,這是因為在調(diào)用一個提供強保證的函數(shù)之后,程序只可能存在兩種狀態(tài):一��、按預(yù)期進行��,函數(shù)成功執(zhí)行�;二�����、程序?qū)⒈3趾瘮?shù)調(diào)用前的狀態(tài)���。反觀提供基本保證的函數(shù)�,如果在調(diào)用它時拋出了一個異常���,那么程序可能會處于任何合法的狀態(tài)���。
l 提供零異常保證的函數(shù)承諾程序決不會拋出異常����,因為它們永遠都會按部就班的運行�。所有的內(nèi)建數(shù)據(jù)類型 ( int 、指針����,等等)的操作都是零異常的(提供零異常保證)�。這是異常安全代碼必不可少的一個因素����。
我們可以假設(shè)包含空異常規(guī)范 [1] 的函數(shù)為零異常的,這樣做看上去是合理的���,但是事實并不一定是這樣的,請看下面的函數(shù):
int doSomething() throw(); // 記錄空異常規(guī)范
這并不是說 doSomething 將永遠不會拋出異常����,這只是說�,如果 doSomething 拋出了異常��,那么此時就出現(xiàn)了一個嚴重的錯誤�,同時程序應(yīng)該調(diào)用一個名為 unexpected 的函數(shù) [2] �。實際上, doSomething 可能根本不會提供任何異常保證。函數(shù)的聲明(包括它的異常規(guī)范��,如果有的話)并不會告訴你它是否正確��、是否小巧���、是否高效���,同時也不會告訴你它他提供了哪個層面上的異常安全保證����。所有那些特性都要在函數(shù)實現(xiàn)中確定下來����,而不是聲明中����。
異常安全的代碼必須要提供上述三個層面的保證中的一種。否則它就不是異常安全的�。那么你要做的就是:對于所寫的每一個函數(shù)都要確定使用哪一層面保證�����。除非我們正在處理沒有做到異常安全的糟糕代碼(這一點我們稍候再提)。只有當你的“優(yōu)秀”的需求分析小組提出:你的程序需要泄露資源����,并且需要使用破壞的數(shù)據(jù)結(jié)構(gòu)時�,不提供任何異常安全保證也許才是一個可行的選擇。
作為一個通用的準則���,你會希望提供可行范圍內(nèi)最強化的保證。從異常安全的角度來說����,零異常的函數(shù)是美妙的���,但是如果不去調(diào)用拋出異常的函數(shù)����,你是很難逾越 C++ 中 C 這一部分的���。只要涉及動態(tài)內(nèi)存分配(比如所有的 STL 容器)�,如果無法尋找到足夠的內(nèi)存來滿足當前的要求�����,那么通常程序都會拋出一 個 bad_alloc 異常(參見第 49 條)�。在可行的時候你應(yīng)該為函數(shù)提供零異常保證�,但是對于大多數(shù)函數(shù)而言,懸在是介于基本保證和增強保證之間的。
對于 changeBackground 而言�,或多或少地提供增強保證并不是件難事�����。首先,我們可以改變 PrettyMenu 的 bgImage 數(shù)據(jù)成員的類型��,從一個內(nèi)建的 Image* 指針類型轉(zhuǎn)變?yōu)橹悄苜Y源管理指針(參見第 13 條)�。坦白的說,單獨從防止資源泄漏理論的角度上說����,這是一個非常好的設(shè)計方案�。事實上它簡單地通過使用對象(比如智能指針)來管理資源(也就是遵循了 13 條中的建議�����,這是優(yōu)秀設(shè)計的基本要求)���,幫助我們提供了增強的異常安全保證���。在下面的代碼中����,我將使用 tr1::shared_ptr ����,這是因為它的行為更直觀���,在進行復(fù)制操作時比 auto_ptr 更合適����。
其次,我們從新編排了 changeBackground 中語句的順序����,從而使 imageChanges 直到圖像改變以后才進行自加��。作為一個通用的準則,直到一個事件真真切切地發(fā)生了,才去改變對象的狀態(tài)來描述這個事件��。
下面是改進后的代碼:
class PrettyMenu {
...
std::tr1::shared_ptr<Image> bgImage;
...
};
void PrettyMenu::changeBackground(std::istream& imgSrc)
{
Lock ml(&mutex);
bgImage.reset(new Image(imgSrc)); // 將 bgImage 的內(nèi)部指針替換為
//”new Image” 表達式的結(jié)果
++imageChanges;
}
請注意這里不需要手動刪除舊圖片���,因為這件事情完全由智能指針代勞了�。而且,只有在新圖像成功創(chuàng)建之后,刪除操作才有意義�����。更精確地說��, tr1::shared_ptr::reset 函數(shù)只有在其參數(shù)( ”new Image(imgSrc)” 的結(jié)果)成功創(chuàng)建以后才會得到調(diào)用�。由于只有在調(diào)用 reset 過程中才會使用 delete ,因此如果從未進入該函數(shù),就永遠不會用到 delete 。注意:使用對象( tr1::shared_ptr )來管理資源(動態(tài)分配的 Image )���,再次精簡了 changeBackground 。
如前所述,這兩項改變或多或少地使 changeBackground 滿足了增強的異常安全保證��??墒?/span> 白璧微瑕, imgSrc 參數(shù) 還有 一個小問題。 如果 Image 的構(gòu)造函數(shù)拋出了一個異常,那么輸入流的讀標記很可能會被移動����,這樣的移動可能會造成狀態(tài)的變化,而這種變化對程序其它部分來說是可見的����。在 changeBackground 指明這一問題之前��,它僅僅提供基本的異常安全保證。
然而����,讓我們把這個問題暫時放在一旁��,假裝 changeBackground 確實可以提供增強保證。(我相信你可以想出一個辦法來,可以通過改變參數(shù)的類型:從輸入流變?yōu)榘瑘D像信息的文件名�。)有一個一般化的設(shè)計方案��,可以使函數(shù)做到增強保證,了解這種放案十分重要�。這一方案一般稱為“復(fù)制并交換��。”從理論上來講,它非常簡單�����。為需要修改的對象做一個副本�,然后將所有需要的改變應(yīng)用于這個副本之上。如果期間任一個修改操作拋出了異常�,那么原始的對象依然紋絲未動��。在所有改變順利完成之后,通過一次不拋出異常的操作將修改過的對象與原始對象相交換即可����。
上述方案通常這樣實現(xiàn):將對象的所有數(shù)據(jù)從“真實的”對象復(fù)制到一個獨立實現(xiàn)的對象中����,然后為真實對象創(chuàng)建一個指針���,將其指向這個實現(xiàn)對象�。這通常稱為“ pimpl idiom ”(指向?qū)崿F(xiàn)的指針),第 31 條中將將解它的一些細節(jié)���。對于 PrettyMenu 而言�,典型的實現(xiàn)是這樣的:
struct PMImpl { // PMImpl = PrettyMenu 的實現(xiàn)
std::tr1::shared_ptr<Image> bgImage;
int imageChanges; // 下文將介紹它為什么是結(jié)構(gòu)體
};
class PrettyMenu {
...
private:
Mutex mutex;
std::tr1::shared_ptr<PMImpl> pImpl;
};
void PrettyMenu::changeBackground(std::istream& imgSrc)
{
using std::swap; // 參見第 25 條
Lock ml(&mutex); // 上鎖
std::tr1::shared_ptr<PMImpl> // 復(fù)制 對象數(shù)據(jù)
pNew(new PMImpl(*pImpl));
pNew->bgImage.reset(new Image(imgSrc)); // 修改副本
++pNew->imageChanges;
swap(pImpl, pNew); // 交換 新數(shù)據(jù)就位
} // 解鎖
在這個示例中,我做出了這樣的選擇: PMImpl 是一個結(jié)構(gòu)體而不是類����,這是因為 PrettyMenu 數(shù)據(jù)的封裝性是通過 pImpl 確定為私有的����。將 PMImpl 實現(xiàn)為類不但不會帶來便利��,而且效果也不好�。(它同樣使面向?qū)ο蟮钠珗?zhí)狂陷入絕境�。)如果需要,可以把 PMImpl 放置在 PrettyMenu 的內(nèi)部�����,但是打包問題與編寫異常安全代碼的問題似乎沒有什么聯(lián)系�,這不是我們當前所關(guān)注的。
有些對象狀態(tài)修改的操作�,要求要么是完全修改�,要么完全不變�����,此時復(fù)制并交換策略是完美的��。但是,一般情況下�,它并不能確保整個函數(shù)都做到增強保證���。請看下面 changeBackground 的一個抽象—— someFunc ����,它使用了復(fù)制并交換策略,但是它包含了 2 個其它函數(shù)的調(diào)用:
void someFunc()
{
... // 為本地的狀態(tài)創(chuàng)建副本
f1();
f2();
... // 交換修改后的狀態(tài)就位
}
這里應(yīng)該很清楚了:如 果 f1 或者 f2 沒有達到增強保證的要求�,那么 someFunc 就很難滿足增強保證。比如�����,假設(shè) f1 僅提供了基本保證�����,為了讓 someFunc 能滿足增強保證��,就必須要為其編寫額外的代碼,用于調(diào)用 f1 之前確定整個程序的狀態(tài)����,捕獲 f1 拋出的所有異常��,然后恢復(fù)原始的狀態(tài)。
如果 f1 和 f2 都滿足了增強保證����,那么事情也不會好到哪去���。如果 f1 運行完成�����,那么程序的狀態(tài)可能經(jīng)歷了任意的修改過程,因此,如果 f2 在此時拋出了一個異常�����,那么程序的狀態(tài)就可能會與 someFunc 被調(diào)用時不一致���,即使 f2 沒有做任何修改操作���。
這個問題是個側(cè)面效應(yīng)�。只要函數(shù)操作僅僅針對本地的狀態(tài)(比如說����, someFunc 僅僅影響到它所調(diào)用對象的狀態(tài)),提供增強保證就相對簡單些。當函數(shù)對于非本地數(shù)據(jù)存在這一側(cè)面效應(yīng)時�,則更加困難些�。比如說�,如果調(diào)用 f1 引入的側(cè)面效應(yīng)是數(shù)據(jù)庫被修改了,那么讓 someFunc 滿足異常安全的增強保證就比較困難。一般來說,已經(jīng)被系統(tǒng)接受的數(shù)據(jù)庫修改很難恢復(fù),這是因為其它的數(shù)據(jù)庫用戶已經(jīng)看到了數(shù)據(jù)庫的新狀態(tài)。
不管你情愿與否,諸如這樣的問題會為你在編寫增強保證的函數(shù)時設(shè)置重重障礙�����。另一個問題是:效率����。復(fù)制并交換策略的核心思想就是修改對象副本的數(shù)據(jù),然后通過一個不會拋出異常地操作交換修改后的數(shù)據(jù)�����。這需要為每個需要修改的對象創(chuàng)建出一個副本����,這樣做顯然會浪費時間和空間,你也許不會情愿使用這一策略�,現(xiàn)實條件有時也會阻止你�����。增強保證是我們良好的預(yù)期目標,只要可行你就應(yīng)該提供,但是現(xiàn)實中它并不總是可行的。
在增強保證不可行時�����,你應(yīng)該提供基本保證�����。從實用角度說����,如果你發(fā)現(xiàn)你可以為某些函數(shù)提供增強保證���,但是由此帶來的效率和復(fù)雜度問題使得增強保證變得得不償失����。只要你在必要的時候做出了努力使適當?shù)暮瘮?shù)滿足了增強保證,那么對于一些函數(shù)僅提供基本保證就是無可厚非的�。對于大多數(shù)函數(shù)而言����,基本保證已經(jīng)是合理的�����、完美的選擇了����。
如果你正在編寫一個完全不提供異常安全保證的函數(shù)�����,那么就是另一番景象了���。因為在這里完全可以在未證明你無罪之前假定你有罪�����。你本應(yīng)該編寫異常安全代碼��。但是你也可以為自己做出強有力的辯解�。請再次考慮一下 someFunc 的實現(xiàn)�,它調(diào)用了兩個函數(shù): f1 和 f2 ,假設(shè) f2 完全沒有提供異常安全保證�����,即使基本保證也沒有����,這就意味著一旦 f2 拋出一個異常,程序可能會在 f2 的內(nèi)部發(fā)生資源泄露�。這意味著 f2 中可能會有破損的數(shù)據(jù)結(jié)構(gòu)���,比如:排好序的數(shù)組可能不再按順序排列����,在兩個數(shù)據(jù)結(jié)構(gòu)之間轉(zhuǎn)送的對象也可能會丟失數(shù)據(jù)�,等等。這樣 someFunc 也無力回天����。如果 someFunc 函數(shù)調(diào)用了沒有提供異常安全保證的函數(shù)���,那么 someFunc 自身就無法做出任何保證����。
讓我們回到本節(jié)開篇時所說的“孕育生命”的問題���。一位女性要么就是懷孕�����,要么就是沒有,絕沒有“部分懷孕”的狀態(tài)。類似的,一個軟件系統(tǒng)要么是異常安全的����,要么就不是�����。沒有所謂的“部分異常安全”的狀態(tài)存在��。在一個系統(tǒng)中,即使只有一個單獨的函數(shù)不是異常安全的,那么整個系統(tǒng)也就不是異常安全的����。遺憾的是����,許多較為古老的 C++ 代碼在編寫的時候完全沒有考慮到異常安全問題����,因此當今許多系統(tǒng)便不是異常安全的。新系統(tǒng)中混雜著異常不安全的編寫習慣����。
沒有理由去維持現(xiàn)狀�。當編寫新代碼或者修改現(xiàn)有代碼的時候����,要認真考慮一下如何使之做到異常安全。首先,使用對象管理資源。(依然參見第 13 條�。)這將有效地防止資源泄露���。然后對于你要編寫的每個函數(shù)確定你要使用哪一層面的異常安全保證,只有在調(diào)用古老的�、沒有異常安全保證的代碼時才放棄異常安全保證�����,因為你別無選擇。記錄下你的選擇�����,這即是為了你的客戶端程序員��,也是為了今后的維護人員���。函數(shù)的異常安全保證位于接口的可見部分����,因此你應(yīng)該認真規(guī)劃它�,就像你認真規(guī)劃接口其它部分一樣。
四十年前,人們迷信充斥著 goto 的代碼是完美的���,現(xiàn)在我們卻為了編寫結(jié)構(gòu)化控制流而努力。二十年前���,全局的完全可訪問的數(shù)據(jù)也是高踞神壇,然而當今我們卻在提倡封裝數(shù)據(jù)���。十年前,編寫函數(shù)時不去考慮異常的影響的做法倍受追捧��,但是今天��,我們堅定不渝的編寫異常安全代碼����。
歲月荏苒���,我們在學習中不斷進步……
銘記在心
l 異常安全的函數(shù)即使在異常拋出時�����,也不會帶來資源泄露,同時也不允許數(shù)據(jù)結(jié)構(gòu)遭到破壞����。這類函數(shù)提供基本的����、增強的、零異常的三個層面的異常安全保證����。
l 增強保證可以通過復(fù)制并交換策略來實現(xiàn)���,但是增強保證并不是對所有函數(shù)都適用����。
l 函數(shù)所提供的異常安全保證通常不要強于其調(diào)用的函數(shù)中保證層次最弱的一個�。
[1] 異常規(guī)范是指:在函數(shù)聲明時列出該函數(shù)可能拋出的異常的類型,并確保該函數(shù)不會拋出其它類型的異常�?�!g者注
[2] 關(guān)于 unexpected 函數(shù)的更多信息,你可以參考你最喜歡的搜索引擎�����,或者“ C++ 大全”一類的書籍�����。(搜 尋 set_unexpected 可能會更好運些,因為它確定了 unexpected 的 性質(zhì))