将结构转换为数组是否合法？

Question

考虑以下几点：

// Just a sequence of adjacent fields of same the type
#[repr(C)]
#[derive(Debug)]
struct S<T> {
    a : T,
    b : T,
    c : T,
    d : T,
}

impl<T : Sized> S<T> {
    fn new(a : T, b : T, c : T, d : T) -> Self {
        Self {
            a,
            b,
            c,
            d,
        }
    }
    // reinterpret it as an array
    fn as_slice(&self) -> &[T] {
        unsafe { std::slice::from_raw_parts(self as *const Self as *const T, 4) }
    }
}

fn main() {
    let s = S::new(1, 2, 3, 4);
    
    let a = s.as_slice();
    
    println!("s :: {:?}\n\
              a :: {:?}", s, a);
}

• 此代码是否可移植？
• 假设具有相同类型字段的 repr(C) 结构可以像数组一样重新解释，是否总是安全的？为什么？

Answer 1

是的，它既安全又便携，除了非常大的T（在下面修复）。 std::slice::from_raw_parts 文档的安全部分中列出的所有要点都不是这里的问题：

• 数据指针对mem::size_of::<T>() * 4有效，为S<T>的大小，并正确对齐。

  • 所有项目都在同一个分配对象中，因为它们在同一个结构中。
  • 指针不为空，因为它是从安全的&self 参数转换而来的，而且它是正确对齐的，因为S<T> 具有（至少）T 的对齐方式。

• data参数肯定指向4个连续初始化的Ts，因为S在你的结构中被标记为#[repr(C)]其中is defined such that，不会引入填充。 （repr(Rust) 不做这样的保证）。

• 引用的内存在引用的生命周期内不会发生突变，这是由借用检查器保证的。

• 切片的总大小不得大于isize::MAX。代码不检查这一点，所以它在技术上是一个安全漏洞。可以肯定的是，在unsafe 之前添加一个检查到as_slice：

  assert!(std::mem::size_of::<S<T>>() <= isize::MAX as _);
  

  检查通常会被优化出来。