在指针使用之前检查是否为空。

你的想法没错，空指针常常会导致立即崩溃，但是不要忘记，如果你通过一个空指针对大数组进行索引，如果你的索引足够高，则确实可能获得有效的内存地址。然后，你就会遇到内存损坏或错误的内存读取，这将更难以定位。

每当我可以假设使用空指针调用函数是一个错误，绝不会在生产代码中发生时，我更喜欢在函数中使用ASSERT守卫进行保护，在调试版本中只编译为真正的代码，而不检查NULL。

从我的角度来看，一般来说，函数应该检查它的参数，而不是调用者。你应该始终假设你的调用者可能有点粗心大意，或者他们可能包含漏洞...

道德：在被调用的函数中检查NULL，可以通过一些if()语句抛出异常，或使用一些ASSERT构造（可能带有一个明确的消息，说明为什么会发生这种情况）。 同样，检查调用者中的NULL，但只有在调用者知道在正常程序执行中可能会发生这种情况并相应地采取行动时才这样做。

当程序出现 NULL 指针时，如果可以接受程序直接崩溃，我倾向于使用：

assert(p);
DoWhateverWithP();

在调试版本中，这只会检查指针的情况，因为定义 NDEBUG 往往会在预处理器级别上 #undef assert()。 它记录了您的假设并有助于调试，但对发布的二进制文件没有任何性能影响（尽管，说实话，在绝大多数情况下检查 NULL 指针对性能应该没有实质性影响）。

作为一个副作用，这对于 C 和 C++ 同样合法，并且在后一种情况下，不需要在编译器/运行时启用异常。

关于您的第二个问题，我更喜欢将断言放在子例程的开头。 再次强调 assert() 的美妙之处在于它实际上没有什么“开销”。 因此，在子例程定义中只需要一个断言的好处是无需考虑其他权衡因素。

当然，警告是永远不要断言带有副作用的表达式：

assert(p = malloc(1)); // NEVER DO THIS!
DoSomethingWithP();    // If NDEBUG was defined, malloc() was never called!

不要仅仅检查空指针并在找到空指针时什么都不做。

如果指针允许为空，那么您必须考虑当其实际为空时您的代码会发生什么。通常，什么都不做是错误的答案。通过细心，可以定义像这样工作的API，但这需要远不止于在各个地方散布一些NULL检查。

因此，如果指针允许为空，则必须检查空指针，并执行任何适当的操作。

如果指针不允许为空，则编写在其为空时调用未定义行为的代码是完全合理的。这与编写字符串处理例程、如果输入未以NUL结尾则调用未定义行为的例程、编写使用缓冲区且调用方传递了错误长度值的例程或者编写一个接受file *参数的函数，并在用户传递文件描述符reinterpret_cast到file *中调用未定义行为没有任何区别。在C和C++中，您只需要能够依赖调用方告诉您什么就好，垃圾进去，垃圾出来。

但是，您可能希望编写帮助调用方（毕竟他们很可能是您自己）的代码，当传递的最可能是垃圾时。断言和异常对此很有帮助。

从Franci在问题评论中提出的类比中可以得出：大多数人在穿过人行道或在沙发上坐下之前不寻找汽车。他们仍然可能被汽车撞击。这种情况经常发生。但通常认为，在这些情况下花费任何精力检查汽车或者在罐头汤的说明书上写“首先，请检查厨房中是否有汽车。然后加热汤”是偏执的。

您的代码也是如此。将无效值传递给函数比意外驾驶汽车进入某人的厨房要容易得多。但如果司机这样做并且撞到了某人，那么这仍然是司机的过错，而不是厨师未行使谨慎责任。您不一定希望厨师（或被调用方）用应该是多余的检查来混淆他们的食谱（代码）。

除了使用单元测试和调试器等方式，还有其他方法可以找到问题。无论如何，在不必要的地方（道路）创造一个无车环境要比在任意地方随意驾驶汽车并希望每个人都能随时应对更为安全。因此，如果你在不允许的情况下检查 null 值，你不应该让这给人们留下它是被允许的想法。

[编辑 - 我刚刚遇到一个检查 null 值无法找到无效指针的 bug 示例。我将使用一个 map 来保存一些对象，并使用指针来表示一个图，这很好，因为 map 从不重新定位其内容。但我尚未为这些对象定义排序（这可能有点棘手）。所以，为了推动事情并证明一些其他代码的工作，我使用了一个 vector 和一个线性搜索而不是一个 map。没错，我不是指 vector，我是说 deque。所以，第一次 vector 调整大小后，我没有传递空指针到函数中，但我传递了指向已释放内存的指针。

我犯的愚蠢错误几乎与我无效地传递 null 指针的愚蠢错误相同频率。因此，无论我是否添加了检查 null，我仍然需要能够诊断程序因我无法检查的原因而崩溃的问题。由于这也将诊断空指针访问，除非我正在编写代码以通常检查函数进入前提条件，否则我通常不会检查 null。

我喜欢这种风格：

if (p == NULL) {
    // throw some exception here
}

DoWhateverWithP();

这意味着，如果p是NULL，那么包含此代码的函数将会迅速失败。您是正确的，如果p是NULL，那么DoWhateverWithP函数无法执行，但使用空指针或简单地不执行函数都是处理p是NULL的不可接受方式。

重要的是要记住尽早退出并快速失败 - 这种方法可以产生更易于调试的代码。

除了其他答案，这要取决于NULL表示什么。例如，以下代码完全可以，并且非常惯用：

while (fgets(buf, sizeof buf, fp) != NULL) {
    process(buf);
}

在这里，NULL 值不仅表示错误，还表示文件结束的条件。同样地，strtok() 返回 NULL 表示“没有更多的标记”（虽然应该避免使用 strtok()，但我偏离了主题）。在这种情况下，如果返回的指针不是 NULL，则调用函数是完全可以的，否则什么也不做。 编辑：另一个更接近要求的例子：

const char *data = "this;is;a;test;";
const char *curr = data;
const char *p;
while ((p = strchr(curr, ';')) != NULL) {
    /* process data in [curr, p) */
    process(curr, p);
    curr = p + 1;
}

再次提醒，这里的NULL是strchr()无法找到;的指示，我们应该停止进一步处理数据。
话虽如此，如果不使用NULL作为指示，那么就取决于以下几点：

• 如果在代码的这一点上指针不能为NULL，则在开发时使用assert(p != NULL);很有用，并且还要使用fprintf(stderr, "Can't happen\n");或类似语句，然后根据情况采取适当的操作（在这一点上，abort()或类似的选择可能是唯一明智的选择）。
• 如果指针可以是NULL，并且它不是关键性的，则最好绕过空指针的使用。假设您尝试为编写日志消息分配内存，并且malloc()失败了。因为这个原因而中止程序是不合适的。如果malloc()成功，则希望调用函数（sprintf()/等）来填充缓冲区。
• 如果指针可以是NULL，并且它是关键性的。在这种情况下，您可能想要失败，希望这种情况不会经常发生。

其次，考虑您有一个函数，该函数将指针作为参数，并且您在整个程序中多次使用此函数。您认为在函数中测试NULL更有益（好处是您不必在所有地方测试NULL），还是在调用函数之前对指针进行测试更有利（好处是没有从调用函数产生的开销）？

这取决于很多因素。如果我能确信有时或大多数情况下传递给函数的指针不能为NULL，则函数中的额外检查是浪费的。如果传递的指针来自许多地方，并且在所有地方放置检查都很棘手，那么在函数本身中进行检查肯定是有好处的。
标准库函数在大多数情况下不检查NULL：str*，mem*函数等。 free()是一个例外，它确实检查NULL。
关于assert的注释：assert如果定义了NDEBUG，则是无操作，因此不应将其用于调试——它唯一的用途是在开发过程中捕获编程错误。此外，在C89中，assert需要一个int，因此在这种情况下，assert(p != NULL)比仅使用assert(p)更好。

可以通过使用引用而不是指针来避免此非NULL检查。这样，编译器确保传递的参数不为NULL。例如：

void f(Param& param)
{
    // "param" is a pointer that is guaranteed not to be NULL      
}

在这种情况下，检查工作由客户端负责。然而，大多数情况下，客户端的情况会是这样的：

Param instance;
f(instance);

不需要进行非空性检查。

当在堆上分配的对象中使用时，您可以执行以下操作：

Param& instance = *new Param();
f(*instance);

更新: 如用户 Crashworks 所述，仍有可能导致程序崩溃。但是，当使用引用时，客户端有责任传递有效的引用，正如我在示例中所展示的那样，这非常容易做到。

怎么样：添加一条澄清意图的注释？如果意图是“这不可能发生”，那么使用断言语句可能比if语句更合适。
另一方面，如果空值是正常的情况，也许需要一个“else注释”来解释为什么我们可以跳过“then”步骤。Stevel McConnel在《代码大全》中有一个很好的章节介绍了if/else语句，以及缺少else语句是一个非常常见的错误（分心、忘记了？）。
因此，我通常会为“无操作else”添加注释，除非它是“如果完成，则返回/中断”的形式。

当你检查 NULL 时，仅仅跳过函数调用并不是一个好主意。你应该有一个else部分，在 NULL 的情况下做一些有意义的事情，例如抛出错误或将错误代码返回到上层。

另一方面，NULL 并不总是表示错误。它经常用于指示数据已经结束。在这种情况下，你需要像处理正常程序流程一样处理这种情况。

首先回答第一个问题：你谈论的是理想情况，我看到的大部分使用if ( p != NULL )的代码都是遗留代码。另外，假设你想返回一个评估器，并使用数据调用该评估器，但是如果没有适用于该数据的评估器，则返回NULL并在调用评估器之前检查NULL是有逻辑意义的。

第二个问题的答案取决于具体情况，例如删除操作会检查NULL指针，而许多其他函数则不会。有时，如果在函数内部测试指针，则可能需要在许多函数中进行测试，例如：

ABC(p);
a = DEF(p);
d = GHI(a);
JKL(p, d);

但是这段代码会更好：

if(p)
{
 ABC(p);
 a = DEF(p);
 d = GHI(a);
 JKL(p, d);
}

我认为我已经看到了更多。这样，如果您知道它会爆炸，您就不会继续进行。

if (NULL == p)
{
  goto FunctionExit; // or some other common label to exit the function.
}