我应该在 FFI 的上下文中传递可变引用还是转移变量的所有权？

Question

我有一个通过 C FFI（通过 winapi-rs）利用 Windows API 的程序。其中一个函数需要一个指向字符串的指针作为输出参数。该函数会将其结果存储到此字符串中。我为此字符串使用WideCString 类型的变量。

我可以“只是”将一个可变引用传递给一个字符串引用到这个函数（在一个不安全的块内）还是应该使用像.into_raw()和.from_raw()这样的功能，它也会移动C函数的变量？

两个版本都可以编译和工作，但我想知道直接方式是否有任何缺点。

以下是我的代码中使用 .into_raw 和 .from_raw 的相关行。

let mut widestr: WideCString = WideCString::from_str("test").unwrap(); //this is the string where the result should be stored
let mut security_descriptor_ptr: winnt::LPWSTR = widestr.into_raw();

let rtrn3 = unsafe {
    advapi32::ConvertSecurityDescriptorToStringSecurityDescriptorW(sd_buffer.as_mut_ptr() as *mut std::os::raw::c_void,
                                    1, 
                                    winnt::DACL_SECURITY_INFORMATION,
                                    &mut security_descriptor_ptr,
                                        ptr::null_mut())

};

if rtrn3 == 0 {
    match IOError::last_os_error().raw_os_error() {
        Some(1008) => println!("Need to fix this errror in get_acl_of_file."), // Do nothing. No idea, why this error occurs
        Some(e) => panic!("Unknown OS error in get_acl_of_file {}", e),
        None => panic!("That should not happen in get_acl_of_file!"),
    }
}

let mut rtr: WideCString = unsafe{WideCString::from_raw(security_descriptor_ptr)};

description of this parameter in MSDN 说：

指向变量的指针，该变量接收指向以 null 结尾的安全描述符字符串的指针。有关字符串格式的说明，请参阅Security Descriptor String Format。要释放返回的缓冲区，请调用 LocalFree 函数。

我期待函数改变变量的值。这不——根据定义——意味着我正在转移所有权吗？

Answer 1

我期待函数改变变量的值。这不——根据定义——意味着我正在转移所有权吗？

没有。考虑所有权的一个关键方法是：当你完成价值时，谁负责破坏价值。

合格的 C API（微软通常属于这一类）文档预期的所有权规则，尽管有时这些词是间接的或假定某种程度的外部知识。这个特殊的功能说：

要释放返回的缓冲区，请调用 LocalFree 函数。

这意味着ConvertSecurityDescriptorToStringSecurityDescriptorW 将执行某种分配并将其返回给用户。查看函数声明，您还可以看到他们将该参数记录为“out”参数：

_Out_ LPTSTR               *StringSecurityDescriptor,

为什么会这样？因为调用者不知道要分配多少内存来存储字符串¹！

通常，您会将对未初始化内存的引用传递给必须为您初始化它的函数。

这可以编译，但是您没有提供足够的上下文来实际调用它，所以谁知道它是否有效：

extern crate advapi32;
extern crate winapi;
extern crate widestring;

use std::{mem, ptr, io};
use winapi::{winnt, PSECURITY_DESCRIPTOR};
use widestring::WideCString;

fn foo(sd_buffer: PSECURITY_DESCRIPTOR) -> WideCString {
    let mut security_descriptor = unsafe { mem::uninitialized() };

    let retval = unsafe {
        advapi32::ConvertSecurityDescriptorToStringSecurityDescriptorW(
            sd_buffer,
            1,
            winnt::DACL_SECURITY_INFORMATION,
            &mut security_descriptor,
            ptr::null_mut()
        )
    };

    if retval == 0 {
        match io::Error::last_os_error().raw_os_error() {
            Some(1008) => println!("Need to fix this errror in get_acl_of_file."), // Do nothing. No idea, why this error occurs
            Some(e) => panic!("Unknown OS error in get_acl_of_file {}", e),
            None => panic!("That should not happen in get_acl_of_file!"),
        }
    }

    unsafe { WideCString::from_raw(security_descriptor) }
}

fn main() {
    let x = foo(ptr::null_mut());
    println!("{:?}", x);
}

[dependencies]
winapi = { git = "https://github.com/nils-tekampe/winapi-rs/", rev = "1bb62e2c22d0f5833cfa9eec1db2c9cfc2a4a303" }
advapi32-sys = { git = "https://github.com/nils-tekampe/winapi-rs/", rev = "1bb62e2c22d0f5833cfa9eec1db2c9cfc2a4a303" }
widestring = "*"

---

直接回答您的问题：

我可以“只是”将一个可变引用传递给一个字符串引用到这个函数中（在一个不安全的块内），还是应该使用像 .into_raw() 和 .from_raw() 这样的功能来移动所有权C函数的变量？

两者都没有。该函数不希望你传递一个指向 string 的指针，它希望你传递一个指向 it 可以放置字符串的位置的指针。

在您的解释之后，我也刚刚意识到（据我所知）在我的示例中，widestr 变量永远不会被 C 函数覆盖。它会覆盖对它的引用，但不会覆盖数据本身。

WideCString::from_str("test") 分配的内存很可能完全泄漏，因为在函数调用之后没有任何东西引用该指针。

这是一个 C (WinAPI) 函数将始终自行分配缓冲区的一般规则（如果不遵循它首先返回大小的两步方法）？

我不相信在 C API 之间甚至在 C API 的内部之间存在任何通用规则。尤其是在像微软这样拥有如此多 API 的公司。您需要阅读每种方法的文档。这是持续拖累的一部分，它会让编写 C 语言感觉像一个苦差事。

将未初始化的内存交给这样的函数对我来说有点奇怪。

是的，因为不能保证函数会初始化它。事实上，在失败的情况下初始化它会很浪费，所以它可能不会。这是 Rust 似乎有更好的解决方案的另一件事。

---

请注意，在调用last_os_error 之类的东西之前，您不应该进行函数调用（例如println!）；那些函数调用可能会改变最后一个错误的值！

---

¹ 其他 Windows API 实际上需要一个多步骤过程 - 您使用 NULL 调用该函数，它返回您需要分配的字节数，然后您调用又来了