<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"
"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />
<title>[234879] trunk</title>
</head>
<body>

<style type="text/css"><!--
#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }
#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }
#msg dt:after { content:':';}
#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }
#msg dl a { font-weight: bold}
#msg dl a:link    { color:#fc3; }
#msg dl a:active  { color:#ff0; }
#msg dl a:visited { color:#cc6; }
h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }
#msg pre { overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }
#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }
#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }
#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }
#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }
#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }
#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }
#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }
#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }
#logmsg pre { background: #eee; padding: 1em; }
#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}
#logmsg dl { margin: 0; }
#logmsg dt { font-weight: bold; }
#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }
#logmsg dd:before { content:'\00bb';}
#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }
#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }
#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }
#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }
#logmsg table th.Corner { text-align: left; }
#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }
#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }
#patch { width: 100%; }
#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}
#patch .propset h4, #patch .binary h4 {margin:0;}
#patch pre {padding:0;line-height:1.2em;margin:0;}
#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}
#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}
#patch span {display:block;padding:0 10px;}
#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}
#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}
#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}
#patch .lines, .info {color:#888;background:#fff;}
--></style>
<div id="msg">
<dl class="meta">
<dt>Revision</dt> <dd><a href="http://trac.webkit.org/projects/webkit/changeset/234879">234879</a></dd>
<dt>Author</dt> <dd>sbarati@apple.com</dd>
<dt>Date</dt> <dd>2018-08-14 21:08:08 -0700 (Tue, 14 Aug 2018)</dd>
</dl>

<h3>Log Message</h3>
<pre>HashMap<Ref<P>, V> asserts when V is not zero for its empty value
https://bugs.webkit.org/show_bug.cgi?id=188582

Reviewed by Sam Weinig.

Source/JavaScriptCore:

* runtime/SparseArrayValueMap.h:

Source/WTF:

The issue happened when we'd fill the hash table buffer with empty values. We
would iterate the buffer and invoke placement new with the incoming value being the
empty value. For Ref, this means that, we'd call its move constructor, which calls
leakRef(), which asserts that the Ref's pointer is not null. We'd like to keep
this assert since it catches bugs where you leakRef() more than once or WTFMove
an already moved Ref.

This patch fixes this issue by adding a new trait for constructing an empty
value. We use that in HashTable instead of directly calling placement new.

* wtf/HashTable.h:
(WTF::HashTableBucketInitializer<false>::initialize):
* wtf/HashTraits.h:
(WTF::GenericHashTraits::constructEmptyValue):
(WTF::HashTraits<Ref<P>>::constructEmptyValue):
(WTF::KeyValuePairHashTraits::constructEmptyValue):

Tools:

* TestWebKitAPI/Tests/WTF/HashMap.cpp:
(TestWebKitAPI::TEST):</pre>

<h3>Modified Paths</h3>
<ul>
<li><a href="#trunkSourceJavaScriptCoreChangeLog">trunk/Source/JavaScriptCore/ChangeLog</a></li>
<li><a href="#trunkSourceJavaScriptCoreruntimeSparseArrayValueMaph">trunk/Source/JavaScriptCore/runtime/SparseArrayValueMap.h</a></li>
<li><a href="#trunkSourceWTFChangeLog">trunk/Source/WTF/ChangeLog</a></li>
<li><a href="#trunkSourceWTFwtfHashTableh">trunk/Source/WTF/wtf/HashTable.h</a></li>
<li><a href="#trunkSourceWTFwtfHashTraitsh">trunk/Source/WTF/wtf/HashTraits.h</a></li>
<li><a href="#trunkToolsChangeLog">trunk/Tools/ChangeLog</a></li>
<li><a href="#trunkToolsTestWebKitAPITestsWTFHashMapcpp">trunk/Tools/TestWebKitAPI/Tests/WTF/HashMap.cpp</a></li>
</ul>

</div>
<div id="patch">
<h3>Diff</h3>
<a id="trunkSourceJavaScriptCoreChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/ChangeLog (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/ChangeLog    2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Source/JavaScriptCore/ChangeLog       2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -1,3 +1,12 @@
</span><ins>+2018-08-14  Saam barati  <sbarati@apple.com>
+
+        HashMap<Ref<P>, V> asserts when V is not zero for its empty value
+        https://bugs.webkit.org/show_bug.cgi?id=188582
+
+        Reviewed by Sam Weinig.
+
+        * runtime/SparseArrayValueMap.h:
+
</ins><span class="cx"> 2018-08-14  Yusuke Suzuki  <yusukesuzuki@slowstart.org>
</span><span class="cx"> 
</span><span class="cx">         Unreviewed, attempt to fix CLoop build
</span></span></pre></div>
<a id="trunkSourceJavaScriptCoreruntimeSparseArrayValueMaph"></a>
<div class="modfile"><h4>Modified: trunk/Source/JavaScriptCore/runtime/SparseArrayValueMap.h (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/JavaScriptCore/runtime/SparseArrayValueMap.h        2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Source/JavaScriptCore/runtime/SparseArrayValueMap.h   2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -37,6 +37,7 @@
</span><span class="cx"> class SparseArrayValueMap;
</span><span class="cx"> 
</span><span class="cx"> class SparseArrayEntry : private WriteBarrier<Unknown> {
</span><ins>+    WTF_MAKE_FAST_ALLOCATED;
</ins><span class="cx"> public:
</span><span class="cx">     using Base = WriteBarrier<Unknown>;
</span><span class="cx"> 
</span></span></pre></div>
<a id="trunkSourceWTFChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Source/WTF/ChangeLog (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/WTF/ChangeLog       2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Source/WTF/ChangeLog  2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -1,3 +1,27 @@
</span><ins>+2018-08-14  Saam barati  <sbarati@apple.com>
+
+        HashMap<Ref<P>, V> asserts when V is not zero for its empty value
+        https://bugs.webkit.org/show_bug.cgi?id=188582
+
+        Reviewed by Sam Weinig.
+
+        The issue happened when we'd fill the hash table buffer with empty values. We
+        would iterate the buffer and invoke placement new with the incoming value being the
+        empty value. For Ref, this means that, we'd call its move constructor, which calls
+        leakRef(), which asserts that the Ref's pointer is not null. We'd like to keep
+        this assert since it catches bugs where you leakRef() more than once or WTFMove
+        an already moved Ref.
+        
+        This patch fixes this issue by adding a new trait for constructing an empty
+        value. We use that in HashTable instead of directly calling placement new.
+
+        * wtf/HashTable.h:
+        (WTF::HashTableBucketInitializer<false>::initialize):
+        * wtf/HashTraits.h:
+        (WTF::GenericHashTraits::constructEmptyValue):
+        (WTF::HashTraits<Ref<P>>::constructEmptyValue):
+        (WTF::KeyValuePairHashTraits::constructEmptyValue):
+
</ins><span class="cx"> 2018-08-14  Fujii Hironori  <Hironori.Fujii@sony.com>
</span><span class="cx"> 
</span><span class="cx">         Unreviewed, rolling out r234859.
</span></span></pre></div>
<a id="trunkSourceWTFwtfHashTableh"></a>
<div class="modfile"><h4>Modified: trunk/Source/WTF/wtf/HashTable.h (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/WTF/wtf/HashTable.h 2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Source/WTF/wtf/HashTable.h    2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -837,7 +837,7 @@
</span><span class="cx">     template<> struct HashTableBucketInitializer<false> {
</span><span class="cx">         template<typename Traits, typename Value> static void initialize(Value& bucket)
</span><span class="cx">         {
</span><del>-            new (NotNull, std::addressof(bucket)) Value(Traits::emptyValue());
</del><ins>+            Traits::template constructEmptyValue<Traits>(bucket);
</ins><span class="cx">         }
</span><span class="cx">     };
</span><span class="cx"> 
</span></span></pre></div>
<a id="trunkSourceWTFwtfHashTraitsh"></a>
<div class="modfile"><h4>Modified: trunk/Source/WTF/wtf/HashTraits.h (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Source/WTF/wtf/HashTraits.h        2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Source/WTF/wtf/HashTraits.h   2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -70,6 +70,12 @@
</span><span class="cx">         emptyValue = std::forward<V>(value);
</span><span class="cx">     }
</span><span class="cx"> 
</span><ins>+    template <typename Traits>
+    static void constructEmptyValue(T& slot)
+    {
+        new (NotNull, std::addressof(slot)) T(Traits::emptyValue());
+    }
+
</ins><span class="cx">     // Type for return value of functions that do not transfer ownership, such as get.
</span><span class="cx">     typedef T PeekType;
</span><span class="cx">     template<typename U> static U&& peek(U&& value) { return std::forward<U>(value); }
</span><span class="lines">@@ -191,6 +197,12 @@
</span><span class="cx">     static const bool emptyValueIsZero = true;
</span><span class="cx">     static Ref<P> emptyValue() { return HashTableEmptyValue; }
</span><span class="cx"> 
</span><ins>+    template <typename>
+    static void constructEmptyValue(Ref<P>& slot)
+    {
+        new (NotNull, std::addressof(slot)) Ref<P>(HashTableEmptyValue);
+    }
+
</ins><span class="cx">     static const bool hasIsEmptyValueFunction = true;
</span><span class="cx">     static bool isEmptyValue(const Ref<P>& value) { return value.isHashTableEmptyValue(); }
</span><span class="cx"> 
</span><span class="lines">@@ -302,6 +314,13 @@
</span><span class="cx">     static const bool emptyValueIsZero = KeyTraits::emptyValueIsZero && ValueTraits::emptyValueIsZero;
</span><span class="cx">     static EmptyValueType emptyValue() { return KeyValuePair<typename KeyTraits::EmptyValueType, typename ValueTraits::EmptyValueType>(KeyTraits::emptyValue(), ValueTraits::emptyValue()); }
</span><span class="cx"> 
</span><ins>+    template <typename>
+    static void constructEmptyValue(TraitType& slot)
+    {
+        KeyTraits::template constructEmptyValue<KeyTraits>(slot.key);
+        ValueTraits::template constructEmptyValue<ValueTraits>(slot.value);
+    }
+
</ins><span class="cx">     static const unsigned minimumTableSize = KeyTraits::minimumTableSize;
</span><span class="cx"> 
</span><span class="cx">     static void constructDeletedValue(TraitType& slot) { KeyTraits::constructDeletedValue(slot.key); }
</span></span></pre></div>
<a id="trunkToolsChangeLog"></a>
<div class="modfile"><h4>Modified: trunk/Tools/ChangeLog (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Tools/ChangeLog    2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Tools/ChangeLog       2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -1,3 +1,13 @@
</span><ins>+2018-08-14  Saam barati  <sbarati@apple.com>
+
+        HashMap<Ref<P>, V> asserts when V is not zero for its empty value
+        https://bugs.webkit.org/show_bug.cgi?id=188582
+
+        Reviewed by Sam Weinig.
+
+        * TestWebKitAPI/Tests/WTF/HashMap.cpp:
+        (TestWebKitAPI::TEST):
+
</ins><span class="cx"> 2018-08-14  Zalan Bujtas  <zalan@apple.com>
</span><span class="cx"> 
</span><span class="cx">         [LFC][Floating] Add support for negative clearance.
</span></span></pre></div>
<a id="trunkToolsTestWebKitAPITestsWTFHashMapcpp"></a>
<div class="modfile"><h4>Modified: trunk/Tools/TestWebKitAPI/Tests/WTF/HashMap.cpp (234878 => 234879)</h4>
<pre class="diff"><span>
<span class="info">--- trunk/Tools/TestWebKitAPI/Tests/WTF/HashMap.cpp  2018-08-15 02:59:51 UTC (rev 234878)
+++ trunk/Tools/TestWebKitAPI/Tests/WTF/HashMap.cpp     2018-08-15 04:08:08 UTC (rev 234879)
</span><span class="lines">@@ -945,4 +945,47 @@
</span><span class="cx">         (void)value;
</span><span class="cx"> }
</span><span class="cx"> 
</span><ins>+TEST(WTF_HashMap, RefMappedToNonZeroEmptyValue)
+{
+    class Value {
+    public:
+        Value() = default;
+        Value(Value&&) = default;
+        Value(const Value&) = default;
+        Value& operator=(Value&&) = default;
+
+        Value(int32_t f)
+            : m_field(f)
+        { }
+
+        int32_t field() { return m_field; }
+
+    private:
+        int32_t m_field { 0xbadbeef };
+    };
+
+    class Key : public RefCounted<Key> {
+        Key() = default;
+    public:
+        static Ref<Key> create() { return adoptRef(*new Key); }
+    };
+
+    static_assert(!WTF::HashTraits<Value>::emptyValueIsZero, "");
+
+    HashMap<Ref<Key>, Value> map;
+    Vector<std::pair<Ref<Key>, int32_t>> vectorMap;
+
+    for (int32_t i = 0; i < 160; ++i) {
+        Ref<Key> key = Key::create();
+        map.add(Ref<Key>(key.get()), Value { i });
+        vectorMap.append({ WTFMove(key), i });
+    }
+
+    for (auto& pair : vectorMap)
+        ASSERT_EQ(pair.second, map.get(pair.first).field());
+
+    for (auto& pair : vectorMap)
+        ASSERT_TRUE(map.remove(pair.first));
+}
+
</ins><span class="cx"> } // namespace TestWebKitAPI
</span></span></pre>
</div>
</div>

</body>
</html>