C++ 字符串 - 如何避免获取无效指针？

Question

在我们的 C++ 代码中，我们有自己的字符串类（出于遗留原因）。它支持c_str() 方法，很像std::string。我注意到许多开发人员都在错误地使用它。我已将问题简化为以下行：

 const char* x = std::string("abc").c_str();

从std::string 上的析构函数在调用c_str() 后立即被调用的意义上来说，这段看似无辜的代码非常危险。结果，您持有一个指向已释放内存位置的指针。

这是另一个例子：

  std::string x("abc");
  const char* y = x.substr(0,1).c_str();

在这里，我们也使用了一个指向解除分配位置的指针。

这些问题在测试过程中不容易发现，因为内存位置仍然包含有效数据（尽管内存位置本身是无效的）。

我想知道您是否对我如何修改类/方法定义以使开发人员永远不会犯这样的错误有任何建议。

Answer 1

代码的现代部分不应该处理这样的原始指针。 仅在为采用 const char* 的旧函数提供参数时才调用 c_str。喜欢：

legacy_print(x.substr(0,1).c_str())

为什么要创建const char* 类型的局部变量？即使您编写了一个复制版本c_str_copy()，您也会更加头疼，因为现在客户端代码负责删除生成的指针。

如果您需要将数据保留更长时间（例如，因为您想将数据传递给多个遗留函数），那么只需将数据始终包装在字符串实例中。

Answer 2

对于基本情况，您可以在“this”对象上添加一个 ref 限定符，以确保 .c_str() 永远不会立即临时调用。当然，这并不能阻止它们存储在指针之前离开作用域的变量中。

const char *c_str() & { return ...; }

但更全面的解决方案是将代码库中的所有函数从采用“const char *”替换为采用您的字符串类之一的函数（至少，您需要两个：一个拥有的字符串和一个借用的字符串slice) - 并确保您的字符串类中没有一个 cannot 是从“const char *”隐式构造的。

Answer 3

最简单的解决方案是更改您的析构函数，以便在销毁时在字符串的开头写入空值。 （或者，用错误消息或 0 填充整个字符串；您可以有一个标志来禁用此功能以用于发布代码。）

虽然它不能直接防止程序员使用无效指针的错误，但当代码没有做它应该做的事情时，它肯定会引起人们的注意。这应该可以帮助您清除代码中的问题。

（正如您所提到的，目前错误并没有被注意到，因为在大多数情况下，代码会在无效内存的情况下愉快地运行。）

Answer 4

考虑使用 Valgrind 或 Electric Fence 来测试您的代码。这些工具中的任何一个都应该可以轻松地立即发现这些错误。

Answer 5

如果您警告人们不正确地使用您的图书馆，我不确定您能做些什么。考虑实际的 stl string 库。如果我这样做：

const char * lala = std::string("lala").c_str();
std::cout << lala << std::endl;
const char * lala2 = std::string("lalb").c_str();
std::cout << lala << std::endl;
std::cout << lala2 << std::endl;

我基本上是在创建未定义的行为。如果我在 ideone.com 上运行它，我会得到以下输出：

lala
lalb
lalb

很明显原来lala的内存已经被覆盖了。我只想在文档中向用户明确说明这种编码是不好的做法。

Answer 6

您可以删除 c_str() 函数，而是提供一个函数，该函数接受对已创建的空智能指针的引用，该指针将智能指针的值重置为字符串的新副本。这将迫使用户创建一个非临时对象，然后他们可以使用该对象来获取原始 c 字符串，并且在退出方法范围时它将被破坏并释放内存。

这假设您的库及其用户将共享同一个堆。

编辑

更好的是，为此目的创建您自己的智能指针类，其析构函数调用库中的库函数来释放内存，以便跨 DLL 边界使用它。