Die erste Version des folgenden Textes stammt noch aus dem Jahr 1996. Er enstand, weil ich bei den damaligen Arbeitgebern beobachtete, dass viele C-Entwickler nicht wussten, was es mit assert()
auf sich hat. Hier kommt die Wiederveröffentlichung:
Selbstidentifizierende Fehler
Es gibt in ANSI-C einen Mechanismus, viele Fehler auch ohne Debugger aufzuspüren: Das Assert Macro. Ein Teil des Problems liegt in Deutschland wohl auch im Namen: Assert ist ein Wort, welches im allgemeinen im Englisch an der Schule nicht benutzt wird. Meine Übersetzung hierfür lautet Zusicherung. Das Assert Macro prüft diese Zusicherung, und druckt, falls es schief geht, seine eigene Datei mit Zeilennummer im Quelltext aus. Ein Beispiel:
int readFile(char * filename char * buffer){ int filehandle; assert( filename != NULL); assert(strlen(filename) > 0); assert(strlen(filename) < MAX_FILENAMELEN); filehandle = open(filename, READ_ONLY); ... } |
Falls jetzt irgend jemand meine Funktion mit falschen Parametern aufruft, z.B. mit einem leeren String, passiert während des Programmlaufes folgendes:
assertion failed in file readfile.c, line 34:strlen(filename) > 0 program aborted |
Der Tester, wer immer das ist, kann in der angegebenen Datei die Zeile aufspüren, in der der Fehler auftrat, und erfährt dann, dass die Funktion readFile
mit einem Leerstring aufgerufen wurde. Oft hat man damit schon die Fehler gefunden, in den anderen Fällen hat man zumindestens einen Anhaltspunkt.
Frage: Sollte man nicht eine wasserdichte Fehlerbehandlung machen?
Welcome to Reality! Die obige Lösung ist ein Einzeiler. In der Praxis bedeutet dieses: Ein assert()
schreibt man auch hin, wenn man meint, das ein bestimmter Fall in der Praxis nie und nimmer auftreten wird. Im obigen Beispiel ist der Programmierer der Aufruffunktion dazu verpflichtet, der Funktion einen Buffer zur Verfügung zu stellen. Wenn der Buffer bei NULL liegt, hat er Mist gemacht.
Bei der Länge des Filenames kommt es auf die Anwendung an: Falls hier ein vom Endbenutzer eingegebener String direkt benutzt wird, ist die assert Lösung allenfalls während der Prototypphase erlaubt. Die Fehler, von denen man damit rechnet, dass sie während des normalen Betriebes auftreten, sollte man selbstverständlich auch korrekt abfangen.
Das Assert hat auch seinen Sinn, wenn es nicht feuert: Bei einer Fehlersuche kann ich sicher sein, dass ein bestimmtes Problem nicht aufgetreten ist, dass ich den Fehler also woanders suchen muss. Nicht zuletzt teile ich den armen Leuten, die mein Programm einmal warten müssen, etwas über meine Intention mit: Der Pointer darf kein NULL-Pointer sein, der Dateiname soll weniger als X Buchstaben haben, …
Das alles kann man auch in die Kommentare schreiben, aber nur Code lügt nicht.
Frage: In C++ und Java gibt es doch den Exception Mechanismus.
Ja der ist oft noch besser, aber leider auch noch etwas komplizierter. Vieles, was ich gesagt habe, lässt sich auch auf diesen Mechanismus übertragen. Leider kann man sich auch nicht immer aussuchen, in welcher Sprache man programmiert.
Frage:Wenn diese Fehlermeldung dann im laufenden Betrieb beim Kunden auftritt, ist das doch eher peinlich. Und das Programm wird doch bestimmt größer und langsamer? Das heißt doch, nachher muss ich alle assert()
Anweisungen wieder entfernen?
Zum Glück nicht! Das Assert läßt sich durch einen Compilerschalter aktivieren oder deaktivieren. Wenn in irgendeiner eingebundenen Headerdatei steht:
#define NDEBUG |
oder in der Make-Datei:
-DNDEBUG |
so wird für das Assert kein Code erzeugt, so als ob man alle assert Zeilen rausediert hätte.
Frage:
Wie funktioniert das eigentlich?
Das Geheimnis liegt im Zusammenspiel von Preprocessor und Compiler. Das Assert ist als Macro implementiert, im allgemeinen in der Datei assert.h
. Das Grundgerüst ist folgendes:
#ifdef NDEBUG #define assert(exp) #else #define assert(exp) \ ( (exp) ? (void) 0 : _assert(#exp, __FILE__, __LINE__)) #endif |
Das sieht doch reichlich kryptisch aus, ist jedoch gar nicht so kompliziert: Makros sind Textersetzer. Mittels #ifdef...#else...#endif
wird dafür gesorgt, das nur Code erzeugt wird, falls das Symbol NDEBUG
nicht definiert ist. Wenn doch wird nämlich assert
zusammen mit seinen Argument durch einen leeren String ersetzt, der Compiler bekommt die betreffenden Zeilen nicht einmal zu Gesicht. Im Debugfall setzt der Compiler die Wörter __FILE__
und __LINE__
durch die aktuelle Quelldatei (nicht assert.h, sondern die Datei der Aufrufstelle) und die aktuelle Zeilennummer. Der Ausdruck #exp
wird durch den aktuellen Ausdruck als String ersetzt.
Die eigenartige Klammerstruktur (xxx ? yyy : zzz)
gehört zum normalen C Sprachumfang, wird jedoch von wohlerzogenen Programmierern nur in Ausnahmefällen wie diesen verwendet. Es ist ein verkürztes if
-statement. Die Backslashes am Ende der Zeile verlängern die Zeilen, da der Makromechanismus ausschließlich zeilenorientiert arbeitet. Insgesamt erzeugt der Preprozessor aus der Zeile
assert(strlen(filename) < 0); |
die Zeile
((strlen(filename) > 0) ? (void) 0 : _assert("strlen(filename > 0", __FILE__, __LINE__)); |
Die tief im Inneren einer Library definierte Funktion _assert()
gibt die Argumente, z.B. mit printf()
, auf den Bildschirm aus und bricht das Programm ab.
Frage: Alles schön und gut, aber ich programmiere mit einem Fenstersystem, manchmal programmiere ich auch Anwendungen ganz ohne Bildschirm. Was nun?
Viele Benutzer haben Glück: In einigen Entwicklungsumgebungen gibt es ein assert(), das ein Pop-up-Fenster öffnet. Ansonsten lohnt es sich für solche Fälle, ein assert-Macro selbst zu schreiben. Das prinzipielle Vorgehen ist dabei, eine Ausgabefunktion zu schreiben, die die betreffende Ausgabe irgendwohin ausgibt, die Datei assert.h
zu kopieren und statt des _assert
die eigene Ausgabefunktion aufzurufen. Die Ausgabe kann in eine Logdatei, über die Soundschnittstelle, als E-Mail, SMS, Fax, Lavalampen, oder als was auch immer erfolgen.
Ähnlich ist auch in anderen Programmiersprachen zu verfahren. Meistens bieten die Hersteller irgendeine Entsprechung zu __FILE__
und __LINE__
an, selbst wenn es nicht im offiziellen Sprachstandard ist.
Frage: Das ist ja toll, was man mit Macros alles machen kann, ich habe da gerade eine Idee …
Vorsicht: Wer Macros einsetzt, nur um ein paar Zeilen Code zu sparen, wird es irgendwann bitter bereuen. Ich habe mal bei einer Firma ein Macro entdeckt, das dazu dienen sollte, Teile eines Records in einen anderen zu kopieren. Dieses Macro war schon mehrere Jahre bei dieser Firma im Einsatz, leider war es nur manchmal korrekt. Ich habe mit mehreren anderen Entwicklern lange vor dem Macro gesessen, um herausfinden, was es eigentlich tat. Im Prinzip wirkte es sehr praktisch. Je nach dem, mit welchem Record man es aufrief, überschrieb es jedoch einen verbotenen Speicherbereich. Dieses Macro war bestimmt für etliche Abstürze verantwortlich, auch bei ausgelieferten Systemen. Die Firma war übrigens kurze Zeit später pleite …
Zurück ins Jahr 2009
Im Jahr 2009 werden Assert-Methoden oft in Unit-Tests verwendet. Dagegen ist auch nichts einzuwenden. Beim vorliegenden Text ging es mir aber um etwas anderes: die Verwendung von Assert im Programmtext selber. Diese Asserts können auch bei unerwarteten Fehler helfen. Sie sind auch allgemeiner: Sie prüfen Aussagen über das Programm, die immer gelten sollen, nicht nur bei bestimmten Testdaten. Asserts im Programmtext selbst sind deshalb auch bei Nutzung von Unit-Tests nützlich.