MISRA C2012学习笔记(6)-Rules 8.11

文章目录

- 8.11 指针类型转换(Pointer type conversions)
- - Rule 11.1 不能在函数指针和任何其他类型指针之间进行转换
  - Rule 11.2 不得在指向不完整类型的指针和其他任何类型间进行转换
  - Rule 11.3 不得在指向不同对象类型的指针之间执行强制转换
  - Rule 11.4 不得在指向对象的指针和整数类型之间进行转换
  - Rule 11.5 不得将指向 void 的指针转换为指向对象的指针
  - Rule 11.6 不得在指向 void 的指针和算术类型之间执行强制转换
  - Rule 11.7 不得在指向对象的指针和非整数算术类型之间执行强制转换
  - Rule 11.8 强制转换不得从指针指向的类型中删除任何 const 或 volatile 限定符
  - ule 11.9 宏“NULL”是整数型空指针常量的唯一允许形式

8.11 指针类型转换(Pointer type conversions)

指针类型可分为以下几种:

•指向对象的指针;

•指向函数的指针;

•指向不完整的指针;

•指向void 的指针;

•空指针常量，即值0，可选择强制转换为void *

标准标准允许的涉及指针的转换只有以下几种:

•指针类型到void类型的转换;

•指针类型到算术类型的转换;

•从算术类型到指针类型的转换;

•从一种指针类型转换为另一种指针类型

尽管语言约束允许，指针和除整数类型以外的任何算术类型之间的转换是不需要定义的。

以下允许的指针转换不需要显式强制转换:

•指针类型到_Bool类型的转换(仅C99);

•从空指针常量到指针类型的转换;

•从指针类型转换为兼容的指针类型，前提是目标类型具有源类型的所有类型限定符;

•指向对象或不完整类型的指针与void *或其限定版本的指针之间的转换，前提是目标类型具有源类型的所有类型限定符。

在C99中，任何不属于指针转换子集的隐式转换都违反了约束(C99第6.5.4节和6.5.16.1节)。

在C90中，任何不属于指针转换子集的隐式转换都会导致未定义的行为(C90第6.3.4节和6.3.16.1节)。

指针类型和整数类型之间的转换需要实现定义

Rule 11.1 不能在函数指针和任何其他类型指针之间进行转换

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

展开:指向函数的指针只能转换为或从指向具有兼容类型的函数的指针转换而来

原理: 指向函数的指针与以下任何一种的转换，都将导致不确定的行为：
•指向对象的指针;

•指向不完整的指针;

•void *

如果通过类型与被调用函数不兼容的指针调用函数，则该行为是未定义的。标准允许将指向函数的指针转换为指向不同类型函数的指针。标准也允许将整数转换为指向函数的指针。但是，为了避免由于使用不兼容的指针类型调用函数而导致的未定义行为，这两种方法都被该规则禁止。

例外:

空指针常量可以转换为指向函数的指针;
指向函数的指针可以转换为void;
函数类型可以隐式地转换为指向该函数类型的指针

注意:例外3涵盖了C90第6.2.2.1节和C99节中描述的隐式转换
6.3.2.1部分。这些转换通常发生在以下情况:

•直接调用函数，即使用函数标识符来表示要调用的函数;

•将函数赋值给函数指针

示例：

typedef void (*fp16) (int16_t n);
typedef void (*fp32) (int32_t n);#include <stdlib.h> /* 获取宏 NULL */
fp16 fp1 = NULL; /* 合规 - 例外 1 */
fp32 fp2 = (fp32)fp1;/* 违规 - 前后函数指针指向类型不同 */if (fp2 != NULL) /* 合规 - 例外 1 */
{
}fp16 fp3 = (fp16)0x8000; /* 违规 - 整型数转换为函数指针 */
fp16 fp4 = (fp16)1.0e6F; /* 违规 - 浮点数转换为函数指针 */

在以下示例中，函数调用返回指向函数类型的指针。将返回值强制转换为void 符合此规则。

typedef fp16 (*pfp16)(void);
pfp16 pfp1;
(void)(*pfp1()); /* 合规 - 例外 2 - 函数指针换行为void */

以下示例显示了从函数类型(标识符)到指向该函数类型的指针的合规的隐式转换

extern void f(int16_t n);
f(1); /* 合规 - 例外 3, 函数f向函数指针的隐式转换 */
fp16 fp5 = f; /* 合规 - 例外 3 */

解读：函数指针不能与其他指针进行转换，目前函数指针使用的比较少，需要进行检查。

Rule 11.2 不得在指向不完整类型的指针和其他任何类型间进行转换

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

展开:指向不完整类型的指针不得转换为其他类型。

不得将其他类型转换为指向不完整类型的指针。

此规则不适用于指向 void 的指针，尽管指向 void 的指针也是指向不完整类型的指针，它们将被 Rule 11.5 涵盖。

原理: 普通指针与指向不完整类型间的转换可能会导致指针未正确对齐，从而导致行为不确定。
将不完整类型的指针转与浮点型互相转换，也会导致未定义的行为。
指向不完整类型的指针有时用于隐藏对象的表示。将指向不完整类型的指针转换为指向对象的指针将破坏这种封装。

例外

空指针常量(NULL)可以转换为指向不完整类型的指针。
指向不完整类型的指针可能会转换为 void。

示例

struct s; 
struct t; 
struct s *sp; /* 不完整类型1 */
struct t *tp; /* 不完整类型2 */int16_t *ip;    
#include <stdlib.h> /* 获取宏 NULL */ 
ip = (int16_t *)sp; /* 违规, 不完整类型转为int16_t * */ 
sp = (struct s *)1234;      /* 违规 常数转为不完整类型 */ 
tp = (struct t *)sp;      /* 违规 - 不完整类型间转换 */ 
sp = NULL; /* 合规 - 例外 1 */ 
/* */ struct s *f(void); 
(void)f(); /* 合规 - 例外 2 */

解读：结构体类型的指针与其他类型的指针不能强制转化，但结构体类型的指针可以赋值NULL，也可以转为void型指针

Rule 11.3 不得在指向不同对象类型的指针之间执行强制转换

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

展开:此规则适用于指针所指向的非限定类型。

原理: 指向不同对象的指针间的转换可能会导致指针未正确对齐，从而导致未定义的行为。

即使已知转换会产生正确对齐的指针，使用该指针访问对象的行为也可能是未定义的。例如，如果将类型为 int 的对象作为 short 进行访问，则即使 int 和 short 具有相同的表示和对齐要求，其行为也是未定义的。

例外：
将指向对象类型的指针转换为指向对象类型为 char，signed char 或 unsigned char 之一的指针是被允许的。C 标准确保了可以使用指向这些类型的指针来访问对象的各个字节。

示例：

uint8_t  *p1;
uint32_t *p2;
/* 违规，转为4字节对齐 */
p2 = ( uint32_t * ) p1;
extern uint32_t read_value ( void );
extern void  print ( uint32_t n );
void f ( void )
{uint32_t  u    = read_value ( );uint16_t *hi_p = ( uint16_t * ) &u;   /* 违规 - 即使可能正确对齐了   */*hi_p = 0;     /* 尝试在大端模式的机器上清除高16位 */print ( u );   /*  上一行代码可能不被执行    */
}

下面的示例是兼容的，因为该规则适用于未限定的指针类型。它不会阻止将类型限定符添加到对象类型中

const short *p; 
const volatile short *q; q = (const volatile short *)p; /* 合规,都是short型指针 */

以下示例是不合规的，因为不限定的指针类型是不同的，即“指向const限定int的指针”和“指向int的指针”

int * const * pcpi; 
const int * const * pcpci; pcpci = (const int * const *)pcpi;

解读：实际有可能会出现转换的情况，这个规则可以加上，使用时需要注意，可以进行评审来消除风险。实际使用时，转换可以提高访问的效率，例如，指针取值时定义的时uint8 *,但在某时刻使用时，是可以按16bit访问的，那么转为uint16 *会更加方便一些。

Rule 11.4 不得在指向对象的指针和整数类型之间进行转换

等级：建议

分析：可判定，单一编译单元

适用：C90,C99

展开:指针不应转换为整型数。

整型数也不应转换为指针。

原理: 将整数转换为指向对象的指针可能会导致指针未正确对齐，从而导致未定义的行为。

将对象的指针转换为整数可能会产生无法以所选整数类型表示的值，从而导致未定义的行为。

注意:在<stdint.h>中声明的C99类型intptr_t和uintptr_t分别是能够表示指针值的有符号和无符号整数类型。尽管如此，该规则不允许在指向对象的指针和这些类型之间进行转换，因为它们的使用并不能避免与指针未对齐相关的未定义行为。

指针和整数类型之间的强制转换应尽可能避免，但在寻址内存映射寄存器或其他特定硬件特性时可能需要。如果在整数和指针之间进行强制转换，应注意确保所产生的指针不会引起规则Rule 11.3中讨论的未定义行为。

例外：具有整数类型的空指针常量(NULL)可以转换为指向对象的指针。

示例

uint8_t *PORTA = ( uint8_t * ) 0x0002;    /* 违规,整数转指针*/
uint16_t *p;
int32_t   addr = ( in t32_t ) &p;          /* 违规,指针转整数 */
uint8_t  *q    = ( uint8_t * ) addr;      /* 违规,整数转指针  */
bool_t    b    = ( bool_t ) p;            /* 违规,指针转整数 */
enum etag { A, B } e = ( enum etag ) p;   /* 违规,指针转整数 */

解读：嵌入式中很容易出现整数转指针的情况，因为要取寄存器中的值。所以该规则可能需要进行裁剪

Rule 11.5 不得将指向 void 的指针转换为指向对象的指针

等级：建议

分析：可判定，单一编译单元

适用：C90,C99

原理: 将指向 void 的指针转换为指向对象的指针可能会导致指针未正确对齐，从而导致未定义的行为。这种转换应尽可能避免使用，但其也可能有必要使用，例如在使用内存分配功能处理时。如果使用从对象的指针到 void 的指针转换，则应确保确保生成的任何指针都不会引起规则 11.3 中讨论的未定义行为。
例外：类型为指向 void 的指针的空指针常量(NULL)可以转换为对象的指针。

uint32_t *p32;
void     *p;
uint16_t *p16;
p   = p32;                /* 合规 - 指向uint32_t的指针转换为指向void的指针         */
p16 = p;                  /* 违规                               */
p   = ( void * ) p16;     /* 合规 */
p32 = ( uint32_t * ) p;   /* 违规   */

解读：void *不能转为其他类型指针，NULL除外，主要是防止未对齐导致的异常访问。

Rule 11.6 不得在指向 void 的指针和算术类型之间执行强制转换

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

原理: 将整数转换为指向void 的指针可能会导致指针未正确对齐，从而导致未定义的行为。

将指向void的指针转换为整型可能会产生一个不能用所选整型表示的值，从而导致未定义的行为。

任何非整数算术类型和指向void的指针之间的转换都是未定义的。

例外：可以将值为0的整数常量表达式转换为指向 void 的指针。（即NULL）
示例：

void     * p;
uint32_t  u;
/* 违规 - 行为由实现定义 */
p = ( void * ) 0x1234u;
/* 违规 - 未定义行为             */
p = ( void * ) 1024.0f;
/* 违规 - 行为由实现定义 */
u = ( uint32_t ) p;

解读：这种操作一般很少出现，没有太大意义。是可以作为检查项的。

Rule 11.7 不得在指向对象的指针和非整数算术类型之间执行强制转换

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

展开：此规则中的“非整数算术类型”表示以下类型之一：

◆ 基本类型是布尔型；

◆ 基本类型是字符型；

◆ 基本类型是枚举型；

◆ 基本类型是浮点型。
原理: 将基本型为布尔型，字符型或枚举型的数据转换为指向对象的指针可能会导致指针未正确对齐，从而导致未定义的行为。

将对象的指针转换为布尔型，字符型或枚举型可能会产生无法用所选整数类型表示的值，从而导致未定义的行为。

任何指向对象的指针与浮点型之间的转换，都将导致未定义的行为。

示例：

int16_t *p; 
float32_t  f; f = (float32_t)p; /* 违规 */ 
p = (int16_t *)f; /* 违规 */

解读：指针关联地址，而bool,char,enum,float和地址操作无关，这种转换是异常的操作，是需要进行分析和规避的。

Rule 11.8 强制转换不得从指针指向的类型中删除任何 const 或 volatile 限定符

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

原理: 通过强制转换来删除与所指向类型相关的限定条件的任何尝试都违反了类型限定原则。

注意:这里引用的限定条件与可能应用于指针本身的任何限定条件不同。

如果从所寻址的对象中删除限定符，可能会出现下述问题：
◆ 删除 const 限定符可能会绕过对象的只读属性并导致其被修改；

◆ 访问对象时，删除 const 限定符可能会导致异常。

◆ 删除 volatile 限定符可能会导致无法访问已优化的对象。

注意:删除C99 restrict限制类型限定符是可接受的。

示例

uint16_t           x;uint16_t * const  cpi = &x;   /* 指针常量               */uint16_t * const *pcpi;       /* 指向指针常量的指针    */uint16_t *       *ppi;const uint16_t         *pci;        /* 指向常量的指针            */
volatile uint16_t         *pvi;        /* 指向 volatile 的指针         */uint16_t         *pi;
pi = cpi;                              /* 合规 - 无隐式转换, 无强制转换   */
pi  = (uint16_t *)pci;                 /* 违规,const属性被移除  */
pi  = (uint16_t *)pvi;                 /* 违规,volatile属性被移除 */
ppi = (uint16_t * *)pcpi;              /* 违规，const属性被移除   */

解读:指针的const 或 volatile 限定符在转化时被移除，可能是异常的操作，需要进行检查。

ule 11.9 宏“NULL”是整数型空指针常量的唯一允许形式

等级：必要

分析：可判定，单一编译单元

适用：C90,C99

展开: NULL 出现在以下应用场景中时，应将宏 NULL 扩展得出一个值为 0 的整数常量表达式：

◆ 将值赋值给指针；

◆ 作为“==”或“!=”运算符的操作数，其另一个操作数是指针；

◆ 作为“?:”运算符的第二个操作数，其第三个操作数是一个指针；

◆ 作为“?:”运算符的第三个操作数，其第二个操作数是一个指针。

忽略空格和任何括号，任何这样的整数常量表达式都将代表 NULL 的整个扩展。

注意:允许形式为(void *)0的空指针常量，无论它是否从NULL扩展而来。

原理：使用 NULL 而不是 0 可以清楚地表明要使用空指针常量

示例：在以下示例中，p2 的初始化是合规的，因为整数常量表达式 0 未出现在此规则禁止的场景中。

int32_t *p1 = 0;              /* 违规 */
int32_t *p2 = ( void * ) 0;   /* Compliant     */

在下面的示例中，p2 和(void *)0 之间的比较是合规的，因为整数常量表达式 0 作为强制转换的操作数出现，而不是在此规则禁止的场景中出现

#define MY_NULL_1  0 
#define MY_NULL_2 (void *)0 if (p1 == MY_NULL_1) /* 违规 */ 
{ 
} 
if (p2 == MY_NULL_2) /* 合规 */ 
{ 
}

以下示例合规，因为使用实现提供的宏 NULL 是被允许的，即使该宏扩展为值为 0 的整数常量表达式也是如此。

/* 也可以是 stdio.h, stdlib.h 或其他头文件 */ 
#include <stddef.h> extern void f(uint8_t *p); /* 任何NULL的合理定义都是合规的，例如: 
* 0 
* (void *)0 
* (((0))) 
* (((1 - 1))) 
*/ 
f(NULL);

解读：使用空指针时不允许使用0，会产生误解，应使用NULL，但(void *)0是允许使用的。该规则应该被进行检查，增强可读性。