异常安全保证分为基本、强、不抛异常三类:基本保证程序不崩溃且资源不泄漏;强保证操作全成功或全回退;noexcept保证函数绝不抛异常,三者共同构成C++健壮性基础。
异常安全保证不是“有没有异常处理”,而是当异常发生时,程序状态是否可控、资源是否泄漏、数据是否一致。C++ 中主要分三类保证:基本异常安全、强异常安全、不抛异常保证(noexcept)。它们共同构成代码健壮性的底层防线。
基本异常安全保证(Basic Guarantee)
这是最底线的要求:一旦异常抛出,程序不会崩溃、内存不会泄漏、对象仍处于有效但可能未定义的状态(即可以安全析构或销毁)。它不承诺恢复到异常前的状态,只确保“不崩、不漏、能收尾”。
- 所有已分配的资源(如 new 出的内存、打开的文件句柄)必须通过 RAII 自动管理(例如用 std::unique_ptr、std::fstream)
- 避免在构造函数中做可能失败且需回滚的复合操作;若必须,应在内部用局部 RAII 对象兜底
- 成员变量初始化顺序要合理——先初始化依赖少的,后初始化可能抛异常的;否则中途
异常会导致部分成员已构造、部分未构造,析构器可能访问未初始化成员
强异常安全保证(Strong Guarantee)
更进一步:要么操作完全成功,要么状态完全回退到调用前(就像什么都没发生过)。常见于容器插入、赋值、swap 等关键操作。实现它通常靠“拷贝-交换”(copy-and-swap)或“预检查+提交”模式。
- 对 std::vector::push_back 来说,若空间不足,先分配新内存并复制元素,再释放旧内存——整个过程失败则旧容器完好无损
- 自定义赋值运算符推荐用 copy-and-swap:先构造临时对象(可能抛异常),再 swap(swap 是 nothrow 的),最后让临时对象析构旧数据
- 避免在强保证函数中直接修改原对象状态;优先“构建新状态 → 原子切换”
不抛异常保证(Noexcept Guarantee)
某些函数明确承诺绝不抛出异常(用 noexcept 标记),这是强异常安全的基石,也是栈展开(stack unwinding)可预测的前提。析构函数、swap、移动构造/赋值默认应是 noexcept。
- 显式写 noexcept 而非 noexcept(true),编译器可据此优化(如 vector 扩容时选择 move 而非 copy)
- 析构函数默认是 noexcept;若其中调用了可能抛异常的函数,必须用 try-catch 吞掉异常,或改为 noexcept(false)(但极不推荐)
- 自定义 swap 应尽量基于成员的 noexcept 操作实现,并加 noexcept(noexcept(a.swap(b))) 这类条件 noexcept 说明
异常处理设计中的实用准则
异常不是错误码替代品,也不是流程控制工具。健壮性来自设计约束,而非事后补救。
- 只对真正“异常”的情况抛异常(如内存耗尽、文件不可读、协议违例),不用于常规分支(如用户输入格式错建议先校验再处理)
- 异常类型应继承自 std::exception 或其派生类(如 std::runtime_error),便于统一捕获和日志追踪
- catch 时优先按引用捕获(catch (const std::exception& e)),避免切片和额外拷贝
- 不要在 catch 块里“吞掉”异常又不记录——至少 log 一句;若决定忽略,也应注释清楚理由
基本上就这些。异常安全不是靠 try-catch 堆出来的,而是靠 RAII 打底、noexcept 明责、接口契约清晰撑起来的。写 C++ 时多问一句:“如果这行 new 抛了,前面的 file 已打开、vector 已 push 了三个元素,会怎样?”——答案越确定,代码就越健壮。
异常会导致部分成员已构造、部分未构造,析构器可能访问未初始化成员