从基析构函数到派生类指针的 static_cast 的安全性

Question

这是问题Downcasting using the Static_cast in C++ 和Safety of invalid downcast using static_cast (or reinterpret_cast) for inheritance without added members 的变体

关于 ~B 中的行为，我不清楚标准中的短语“B 实际上是 D 类型对象的子对象，结果指针指向 D 类型的封闭对象”。如果你在 ~B 中转换为 D，那它仍然是一个子对象吗？ 下面这个简单的例子说明了这个问题：

void f(B* b);

class B {
public:
  B() {}
  ~B() { f(this); }
};

class D : public B { public: D() {} };

std::set<D*> ds;

void f(B* b) {
  D* d = static_cast<D*>(b);  // UB or subobject of type D?
  ds.erase(d);
}

我知道演员阵容是一扇通向灾难的大门，从 dtor 做这样的事情是个坏主意，但一位同事声称“代码有效且工作正常。演员阵容完全有效。评论明确指出不应取消引用”。

我指出强制转换是不必要的，我们应该更喜欢类型系统提供的保护而不是 cmets。可悲的是，他是高级/首席开发人员之一，并且是所谓的 C++“专家”。

我可以告诉他演员是 UB 吗？

Answer 1

[expr.static.cast]/p11:

“指向 cv1 B 的指针”类型的纯右值，其中 B 是类类型，可以 转换为“指向 cv2 D 的指针”类型的纯右值，其中 D 是 如果是有效的标准转换，则从 B 派生类（第 10 条） 从“指向D的指针”到“指向B的指针”存在（4.10），cv2是 与 cv1 相同的 cv 限定或更高的 cv 限定，并且 B 既不是 D 的虚拟基类，也不是 a 的基类 D 的虚拟基类。空指针值（4.10）被转换 到目标类型的空指针值。如果prvalue 键入“指向 cv1 B 的指针”指向实际上是子对象的 B D 类型的对象，结果指针指向 D 类型的封闭对象。否则，行为未定义。

那么，问题是，在static_cast 的时候，指针是否真的指向“一个B，它实际上是D 类型的对象的子对象”。如果是，则没有UB；如果不是，则行为未定义无论结果指针是否被取消引用或以其他方式使用。

[class.dtor]/p15 这么说（强调我的）

一旦为对象调用析构函数，对象就不再 存在

[basic.life]/p1 这么说

T 类型对象的生命周期在以下时间结束：

• 如果 T 是具有非平凡析构函数 (12.4) 的类类型，则析构函数调用开始，或者
• [...]

因此，D 对象的生命周期在它的析构函数被调用时就结束了，当然在B 的析构函数开始执行时——也就是在D 的析构函数主体执行完之后执行完毕。此时，没有“D 类型的对象”可以作为该B 的子对象——它“不再存在”。这样，你就有了 UB。

如果 B 被设为多态（给定一个虚函数），那么与 UBsan 的 Clang 将在此代码上 report an error，这支持这种读取。

Answer 2

显然，您的同事认为只要您不取消引用无效指针，就可以了。

他错了。

仅仅评估这样的指针具有未定义的行为。这段代码明显坏了。

Answer 3

你应该明确告诉他这是 UB ！ ！

为什么？

12.4/7： 基类和成员按照其构造函数完成的相反顺序销毁对象在 它们的构造顺序相反。

12.6.2/10：首先（...）初始化虚拟基类（...），然后初始化直接基类

所以当破坏一个D时，首先破坏D成员，然后破坏D子对象，然后才破坏B。

此代码确保在 B 对象被销毁时调用 f()：

 ~B() { f(this); } 

所以当一个D对象被销毁时，D子对象先被销毁，然后~B()被执行，调用f()。

在f() 中，您将指向 B 的指针转换为指向 D 的指针。这是 UB：

3.8/5： (...) 在对象的生命周期结束之后，在对象占用的存储空间被重用或释放之前，任何 指向对象所在存储位置的指针 或位于 可以使用，但仅限于有限的方式。 (...) 如果指针用于访问非静态数据成员或调用 对象，或 (...) 指针用作 static_cast 的操作数。