qdev: Fix crash by validating the object type
[qemu/kevin.git] / HACKING
blob12fbc8afe439d92d50ec40a6343cdc2186bb664f
1 1. Preprocessor
3 For variadic macros, stick with this C99-like syntax:
5 #define DPRINTF(fmt, ...)                                       \
6     do { printf("IRQ: " fmt, ## __VA_ARGS__); } while (0)
8 2. C types
10 It should be common sense to use the right type, but we have collected
11 a few useful guidelines here.
13 2.1. Scalars
15 If you're using "int" or "long", odds are good that there's a better type.
16 If a variable is counting something, it should be declared with an
17 unsigned type.
19 If it's host memory-size related, size_t should be a good choice (use
20 ssize_t only if required). Guest RAM memory offsets must use ram_addr_t,
21 but only for RAM, it may not cover whole guest address space.
23 If it's file-size related, use off_t.
24 If it's file-offset related (i.e., signed), use off_t.
25 If it's just counting small numbers use "unsigned int";
26 (on all but oddball embedded systems, you can assume that that
27 type is at least four bytes wide).
29 In the event that you require a specific width, use a standard type
30 like int32_t, uint32_t, uint64_t, etc.  The specific types are
31 mandatory for VMState fields.
33 Don't use Linux kernel internal types like u32, __u32 or __le32.
35 Use hwaddr for guest physical addresses except pcibus_t
36 for PCI addresses.  In addition, ram_addr_t is a QEMU internal address
37 space that maps guest RAM physical addresses into an intermediate
38 address space that can map to host virtual address spaces.  Generally
39 speaking, the size of guest memory can always fit into ram_addr_t but
40 it would not be correct to store an actual guest physical address in a
41 ram_addr_t.
43 For CPU virtual addresses there are several possible types.
44 vaddr is the best type to use to hold a CPU virtual address in
45 target-independent code. It is guaranteed to be large enough to hold a
46 virtual address for any target, and it does not change size from target
47 to target. It is always unsigned.
48 target_ulong is a type the size of a virtual address on the CPU; this means
49 it may be 32 or 64 bits depending on which target is being built. It should
50 therefore be used only in target-specific code, and in some
51 performance-critical built-per-target core code such as the TLB code.
52 There is also a signed version, target_long.
53 abi_ulong is for the *-user targets, and represents a type the size of
54 'void *' in that target's ABI. (This may not be the same as the size of a
55 full CPU virtual address in the case of target ABIs which use 32 bit pointers
56 on 64 bit CPUs, like sparc32plus.) Definitions of structures that must match
57 the target's ABI must use this type for anything that on the target is defined
58 to be an 'unsigned long' or a pointer type.
59 There is also a signed version, abi_long.
61 Of course, take all of the above with a grain of salt.  If you're about
62 to use some system interface that requires a type like size_t, pid_t or
63 off_t, use matching types for any corresponding variables.
65 Also, if you try to use e.g., "unsigned int" as a type, and that
66 conflicts with the signedness of a related variable, sometimes
67 it's best just to use the *wrong* type, if "pulling the thread"
68 and fixing all related variables would be too invasive.
70 Finally, while using descriptive types is important, be careful not to
71 go overboard.  If whatever you're doing causes warnings, or requires
72 casts, then reconsider or ask for help.
74 2.2. Pointers
76 Ensure that all of your pointers are "const-correct".
77 Unless a pointer is used to modify the pointed-to storage,
78 give it the "const" attribute.  That way, the reader knows
79 up-front that this is a read-only pointer.  Perhaps more
80 importantly, if we're diligent about this, when you see a non-const
81 pointer, you're guaranteed that it is used to modify the storage
82 it points to, or it is aliased to another pointer that is.
84 2.3. Typedefs
85 Typedefs are used to eliminate the redundant 'struct' keyword.
87 2.4. Reserved namespaces in C and POSIX
88 Underscore capital, double underscore, and underscore 't' suffixes should be
89 avoided.
91 3. Low level memory management
93 Use of the malloc/free/realloc/calloc/valloc/memalign/posix_memalign
94 APIs is not allowed in the QEMU codebase. Instead of these routines,
95 use the GLib memory allocation routines g_malloc/g_malloc0/g_new/
96 g_new0/g_realloc/g_free or QEMU's qemu_memalign/qemu_blockalign/qemu_vfree
97 APIs.
99 Please note that g_malloc will exit on allocation failure, so there
100 is no need to test for failure (as you would have to with malloc).
101 Calling g_malloc with a zero size is valid and will return NULL.
103 Memory allocated by qemu_memalign or qemu_blockalign must be freed with
104 qemu_vfree, since breaking this will cause problems on Win32.
106 4. String manipulation
108 Do not use the strncpy function.  As mentioned in the man page, it does *not*
109 guarantee a NULL-terminated buffer, which makes it extremely dangerous to use.
110 It also zeros trailing destination bytes out to the specified length.  Instead,
111 use this similar function when possible, but note its different signature:
112 void pstrcpy(char *dest, int dest_buf_size, const char *src)
114 Don't use strcat because it can't check for buffer overflows, but:
115 char *pstrcat(char *buf, int buf_size, const char *s)
117 The same limitation exists with sprintf and vsprintf, so use snprintf and
118 vsnprintf.
120 QEMU provides other useful string functions:
121 int strstart(const char *str, const char *val, const char **ptr)
122 int stristart(const char *str, const char *val, const char **ptr)
123 int qemu_strnlen(const char *s, int max_len)
125 There are also replacement character processing macros for isxyz and toxyz,
126 so instead of e.g. isalnum you should use qemu_isalnum.
128 Because of the memory management rules, you must use g_strdup/g_strndup
129 instead of plain strdup/strndup.
131 5. Printf-style functions
133 Whenever you add a new printf-style function, i.e., one with a format
134 string argument and following "..." in its prototype, be sure to use
135 gcc's printf attribute directive in the prototype.
137 This makes it so gcc's -Wformat and -Wformat-security options can do
138 their jobs and cross-check format strings with the number and types
139 of arguments.
141 6. C standard, implementation defined and undefined behaviors
143 C code in QEMU should be written to the C99 language specification. A copy
144 of the final version of the C99 standard with corrigenda TC1, TC2, and TC3
145 included, formatted as a draft, can be downloaded from:
146  http://www.open-std.org/jtc1/sc22/WG14/www/docs/n1256.pdf
148 The C language specification defines regions of undefined behavior and
149 implementation defined behavior (to give compiler authors enough leeway to
150 produce better code).  In general, code in QEMU should follow the language
151 specification and avoid both undefined and implementation defined
152 constructs. ("It works fine on the gcc I tested it with" is not a valid
153 argument...) However there are a few areas where we allow ourselves to
154 assume certain behaviors because in practice all the platforms we care about
155 behave in the same way and writing strictly conformant code would be
156 painful. These are:
157  * you may assume that integers are 2s complement representation
158  * you may assume that right shift of a signed integer duplicates
159    the sign bit (ie it is an arithmetic shift, not a logical shift)