const& - C/C++

Опять что-то перемудрили в стандарте или я неправильно понимаю ссылочные квалификаторы у методов класса?
Обнаружил падение у себя в коде. В сухом остатке вот выжимка. Код содержит undefined behavior.

class nested_class 
{
public:
   int get() const { return m_member; };

private:
    int m_member = 0;
};

class holder_class
{
public:

    template<typename type_t>
    const nested_class& get() const& { return m_member; }
    
private:

    nested_class m_member;
};


int main(int argc,char** argv) {

    const nested_class& nested = holder_class().get<int>(); // UB

    return nested.get();
}

В оправдании себя: думал что 'const&' квалификатор метода класса убережет меня от вызова метода у временного объекта. Но не уберегло, не фортануло. Стандарт позволяет вызвать метод у временного константного объекта. Дальше масса объяснений зачем это, что ссылка константная и она продлевается и это безопасно и бла-бла-бла. Во у меня рабочий пример и таки приведение оказалось не безопасным. Понятно, что можно добавить метод

template<typename type_t>
nested_class get() const&& = delete;

и всё будет работать как задумано. Но почему такое поведение по умолчанию, где я ошибся в своей логике-реализации ?

Здравствуйте, Videoman, Вы писали:

V>Опять что-то перемудрили в стандарте или я неправильно понимаю ссылочные квалификаторы у методов класса?

Проблема связана с общими правилами продления жизни временных объектов константными ссылками. А не с квалификаторами методов класса, как с очень частным случаем этого правила.

V> В сухом остатке вот выжимка.

Всё ещё слишком много лишнего :)

Более минимизированный пример c падением во время работы: https://godbolt.org/z/e1EnbbhvK

int main() {
    const int& bad = std::min(5, 6);
    printf("%d\n", bad); // UB
}

V> Стандарт позволяет вызвать метод у временного константного объекта.

И не только у метода — это опять же слишком частный случай.
Всегда и везде можно передавать временный объект по константной ссылке. Иначе бы такой код просто бы не компилировался:

const int good = std::min(5, 6);

Это дизайн языка, что по константной ссылке можно передать что угодно: число, строку или *this.

V>Понятно, что можно добавить метод

V>template<typename type_t>
V>nested_class get() const&& = delete;
V>

и всё будет работать как задумано.

Не нужно, пожалуйста, добавлять такие запрещения: от них вреда больше, чем пользы. Во-первых, они не все случаи ловят, во-вторых, они запрещают множество совершенно легитимных способов использовать классы:

printf("%d\n", holder_class().get<int>().get());

В твоём случае этот код не скомпилируется, хотя никакого UB нет.

Гораздо более практичный способ избежать подобных ошибок — использовать lifetimebound-атрибут, поддержка которого уже давно есть во многих компиляторах:

    
const nested_class& get() const& [[lifetimebound]];

После чего получать человекочитаемые сообщения:

error: temporary bound to local reference 'nested' will be destroyed at the end of the full-expression [-Werror,-Wdangling]
      |     const nested_class& nested = holder_class().get<int>(); 
      |                                  ^~~~~~~~~~~~~~

и при этом не получать ложных срабатываний при валидном использовании, в отличии от трюка с && = delete.

Демо: https://godbolt.org/z/ea6ovve7v

Здравствуйте, Videoman, Вы писали:

V>В оправдании себя: думал что 'const&' квалификатор метода класса убережет меня от вызова метода у временного объекта.
Если совсем на пальцах, то потому что const это совсем не то же самое, что immutable.
const совершенно не значит, что значение всегда будет хорошим, правильным и неизменяемым. Это лишь значит, что тебе менять не дадут.

W>Более минимизированный пример c падением во время работы: https://godbolt.org/z/e1EnbbhvK

W>int main() {
W>    const int& bad = std::min(5, 6);
W>    printf("%d\n", bad); // UB
W>}

Кстати, с современной STL от llvm или от microsoft в этом коде теперь проблема детектируется во время компиляции: https://godbolt.org/z/rYG74fhsz
Потому что они уже начали размечать код в STL как раз lifetimebound-атрибутами. Хотя, к сожалению, пока только начали и покрытие всё ещё не очень большое.

Здравствуйте, Videoman, Вы писали:

V>Опять что-то перемудрили в стандарте или я неправильно понимаю ссылочные квалификаторы у методов класса?

V>В оправдании себя: думал что 'const&' квалификатор метода класса убережет меня от вызова метода у временного объекта. Но не уберегло, не фортануло. Стандарт позволяет вызвать метод у временного константного объекта. Дальше масса объяснений зачем это, что ссылка константная и она продлевается и это безопасно и бла-бла-бла. Во у меня рабочий пример и таки приведение оказалось не безопасным.

V>Но почему такое поведение по умолчанию, где я ошибся в своей логике-реализации ?

Разницу между 'const' и 'const&' ты можешь обнаружить только при наличии в классе других перегрузок. Например, перегрузка по 'const' приводит к коллизии с перегрузкой по '&&', а перегрузка по 'const&' не приводит. В остальном же 'const' и 'const&' ведут себя одинаково. Т.е. обе эти перегрузки могут работать для rvalue-выражений. Т.е. правила в принципе те же самые, что и с явными параметрами обычных функций.

Здравствуйте, ·, Вы писали:

·>Здравствуйте, Videoman, Вы писали:

V>>В оправдании себя: думал что 'const&' квалификатор метода класса убережет меня от вызова метода у временного объекта.
·>Если совсем на пальцах, то потому что const это совсем не то же самое, что immutable.
·>const совершенно не значит, что значение всегда будет хорошим, правильным и неизменяемым. Это лишь значит, что тебе менять не дадут.

Я прекрасно понимаю что такое 'const'. Вопрос был не в этом. Скорее удивление от того, что если реализовать 'const&' и 'const&&', то всё работает логично, а вот если только 'const&' то временные this спокойно делегируют все вызовы к последнему.

Здравствуйте, watchmaker, Вы писали:

Спасибо за исчерпывающий ответ.

W>Не нужно, пожалуйста, добавлять такие запрещения:

Я не пишу так код в продакшене. Удивление возникло в процессе отладки нового кода, в который ещё не была добавлена реализация перегрузки для 'const&&'.

W>Гораздо более практичный способ избежать подобных ошибок — использовать lifetimebound-атрибут

Спасибо, возьму на заметку. Но пока я вынужден работать со старыми компиляторами.

Это use after free.
Взята ссылка на внутренность временного обьекта, обьект умер по выходу из области видимости, ссылка разименована.
Что сложного завести локальную переменную?
Компилятор просто недостаточно умен чтобы бить вас по рукам.

Здравствуйте, Teolog, Вы писали:

T>Это use after free.
T>Взята ссылка на внутренность временного обьекта, обьект умер по выходу из области видимости, ссылка разименована.
T>Что сложного завести локальную переменную?
T>Компилятор просто недостаточно умен чтобы бить вас по рукам.

Вы сейчас на какой вопрос отвечаете?

Здравствуйте, watchmaker, Вы писали:

W>Гораздо более практичный способ избежать подобных ошибок — использовать lifetimebound-атрибут, поддержка которого уже давно есть во многих компиляторах:

Вот это — богоугодно!
Жалко лишь, что это свойство нельзя просто так взять и протащить в систему типов... по аналогии с тем, как это есть в расте или клине.

Или можно? Хотя бы в виде какого-то костылесипеда...

template<class T> class wrapper {
  const T& src_;
public:
  wrapper(const T& src) : src_{src} {}
  operator const T&() const [[lifetime]] { return src_; }
};

class owner {
  some x_;
  another y_;
  .....
public:
  auto x() const&& [[lifetime]] { return wrapper{x_}; }
  auto y() const&& [[lifetime]] { return wrapper{y_}; }
};

(нерабочий эскиз, мысль иссякла)

Здравствуйте, watchmaker, Вы писали:

W>Демо: https://godbolt.org/z/ea6ovve7v

    template<typename type_t>
    const nested_class& get() const& LIFETIMEBOUND;

Я правильно понимаю, что здесь уже можно упростить 'const&' до более привычного 'const' без какого-либо ущерба?

Не понял, что ты хотел сделать, но wrapper написан не так.
Нужно что-то вроде этого:

template<class T> class wrapper {
  const T& src_;
public:
  wrapper(const T& src LIFETIMEBOUND); // wrapper не должен использоваться позже разрушения src
  operator const T&(this const wrapper self LIFETIMEBOUND); // время жизни должно следить за оригинальным src_, a не за wrapper. Ведь возвращённой ссылкой легально пользоваться, если owner ещё жив, даже если wrapper уже разрушен
};

Как видно по второй строке, у атрибута слегка неочевидные отличия в поведении в зависимости от того, применяется ли он к const wrapper или к const wrapper& (аналогично различие при применении к wrapper и к wrapper*).

Сейчас атрибут покрывает 90% случаев самых частых проблем. Но им нельзя или сложно выразить правила владения во всяких сложных структурах с умными указателями и подобным как раз из-за недостаточной выразительности. Не всегда получается просто объяснить, что нужно следить за временем жизни объекта, на который ссылается указатель, а не за самим указателем, когда эти сами указатели завёрнуты в другие указатели или ссылки.

А дискуссия про развитие правил описания немного зависла: https://discourse.llvm.org/t/rfc-lifetime-annotations-for-c/61377/40

С другой стороны, даже сейчас возможность уменьшить на 90% число банальных багов вокруг разных string_view — это уже неплохо.
Кучу кода видел, который проезжался по памяти, но выглядел при этом обманчиво нормально:

const std::string& get() {
  static std::string foo = "foo";
  return foo;
}


std::string_view value = cond ? get() : "default"; // "default" живёт вечно, строка с "foo" - тоже до окончания программы. 
std::cout << value << '\n'; // значит string_view ссылается на живые данные?

а теперь компилятор находит в нём ошибки во время компиляции.

От:	Videoman	https://hts.tv/
Дата:	10.10.25 08:25
Оценка:

	От:	watchmaker
	Дата:	10.10.25 09:32
	Оценка:	136 (8) +1

	От:	·
	Дата:	10.10.25 09:37
	Оценка:

	От:	watchmaker
	Дата:	10.10.25 10:31
	Оценка:

	От:	rg45
	Дата:	10.10.25 11:17
	Оценка:	1 (1) +1

	От:	Teolog
	Дата:	11.10.25 14:18
	Оценка:

	От:	Кодт
	Дата:	12.10.25 18:47
	Оценка: