剛剛發表了《什么是契約》一文�,突然發現自己通篇都在寫理論�,沒有實例來證明�����。所以趕快補充一個反面案例——C++ IOStream�����。說是反面,不是因為IOStream庫設計得不精彩(恰恰相反���,你很難找到比IOStream設計更為精彩的C++庫了)�����,而是想展示一下�,在沒有契約概念的思想體系里,組件設計將為權責不清的錯誤處理付出多大的代價���。
大家知道,C++ IOStream庫非常經典�����,最先起源于Bjarne Stroustrup的Stream庫�,之后經過Jerry Schwartz、Martin Carroll�����、Andy Koenig等人的改進�,成為IOStream庫,并被并入Bell實驗室發行的USD C++庫中�,廣為傳播�。后來USD庫逐漸消亡了�,而IOStream由于獲得廣泛應用,得以幸免���,并以新的形式被置于標準庫中。
對于錯誤處理�,當IOStream庫誕生的時候(大約1985-1987)���,C++還沒有異常機制�。因此�,Jerry Schwartz發明了這樣一套錯誤處理機制:
例1:經典的IOStream錯誤處理:
ifstream ifs("filename.txt", ios::in);
if (!ifs) { // 這里實施了向void*轉型的操作
// 文件打開失敗,實施錯誤處理
}
先測試文件是否打開,再實施具體操作�����,這是經典IOStream庫的一個慣用法(idiom)�����。
我們現在設想用戶沒有很好地執行這個idiom:
int val;
ifstream ifs("filename.txt", ios::in);
ifs >> val;
如果filename.txt打開失敗,會發生什么情況?
如果哪位還有當年的Borland C++ 3.1�,可以試著測試一下�。我估計是什么也不發生�,或者說,程序處于極端危險的“undefined behavior”狀態。
這種情況對C++庫開發者來說是不能接受的�����。因此�����,盡管問題的出現是由于用戶的錯誤(他們沒有正確地測試流狀態)�����,但是由于非契約思想體系下的權責不清,IOStream庫的開發者開始追求足以應對用戶錯誤的組件開發技術�。由此���,IOStream開始在一個方向上被拖入了復雜性的泥潭之中���。
我們看看標準庫中的對付這種情況采用什么辦法�。標準IOStream有一個成員函數叫做exceptions()���,專門用來幫助程序員切換異常模式�����。缺省情況下�,異常觸發并沒有打開�,所以情形跟經典IOStream庫相同�。如果你在操作IOStream之前如下調用:
strm.exceptions(std::ios::eofbit | std::ios::failbit |
std::ios::badbit);
則當流不處于good狀態時,執行類似 strm >> val���;這樣的操作時,將會拋出異常�。
這樣做看起來不錯�,是嗎���?
我覺得不是���。請恕我C++標準的異議,這是我第一次正式對C++標準中的設計提出異議���。
這種設計帶來的缺點,首先是復雜���。在Nicolai Josuttis的The C++ Standard Library中,對這個機制整整用了5頁紙來解釋�����,還意猶未盡���。復雜的設計必然帶來復雜的使用規則�,而面對復雜的使用規則,用戶是可以投票的�����,那就是你做你的�,我不用!讀這篇帖子的人,誰在實際項目中使用過exceptions()�����?事實上�,我個人是害怕exception甚于害怕undefined behavior���。
而對于用戶來說�����,你可以不用���,卻不得不為對它付出運行性能和空間的代價�。諸位有興趣�,不妨追蹤一個IOStream功能的實現,看看為了支持這個異常�����,IOStream庫的設計這耗費了多大的心力�����,而你的CPU又為此耗費了多少clock�����。
缺點之二,是異常本身的問題——即使你抓到了異常���,又當如何?程序可能已經完全離開了發生異常時的執行環境���,也許你連異常為什么發生都搞不清楚,談何處理���?也無非就是通知用戶一聲:“我完了,因為一個異常發生在XXXXXXXX處�����,你要報告的話給我發Email吧�����。” 是啊,你還能做什么呢?
我們試著用契約觀點來分析這一狀況���,如果說“先測試,再使用”在傳統上是一個idiom,那么在contract思想里上升為一個契約���。對于C++來說,應該將“流處于good狀態”作為一個契約,在每一個成員函數里進行檢查���。甚至你還可以設置一個調試期標志,專門用來核查用戶是否檢查過流狀態���。在必要的操作進行之前�,你可以先用斷言檢查用戶是否檢查過流狀態���,滿足了契約�。這樣一來,在契約之下�����,用戶將被迫以正確的方式使用組件�����,從而大幅度簡化組件開發的復雜度�����。
再來考慮異常���。如果真正發生了異常�,在Eiffel中提供了retry機制。Bjarne Stroustrup說過���,retry可以做到,但是往往沒有意義���。為什么沒有意義呢?因為C++中沒有契約的思想�����,異常的產生可能根本就是程序員的bug�。在這種情況下,無論retry多少次���,結果都是一樣的糟??墒窃贓iffel里情形不同�。如果各方面對于契約都做到很好的遵循�,那么真正發生異常的時候,我們大可以比較有把握的說,這可能是一個很偶然的事件導致的�����。比如說網絡環境下�����,另一個用戶在那一瞬間突然對文件實施了一個操作���,或者硬件的一次偶然異常���。對于這種情況,“再試一次”成了合情合理的選擇�����。我們很可能將異常扼殺在搖籃之中�����,從而不給上層模塊帶來任何影響�。
誰說契約思想不偉大呢�����?