将 char** 传递给 void** 函数参数时，与指针类型不兼容的指针类型警告

Question

我正在尝试实现一个安全释放函数，它擦除分配的内存，释放它，然后还将指向分配区域的指针设置为 NULL，因此指针不能在释放后重用，也不能被双重释放相同的功能。为了实现这一点，我使用了一个指向指针的参数，它允许我覆盖指向已分配内存的指针。

问题是 GCC 抱怨指针类型不兼容（“但它在我的机器上工作”）；我没想到会有这样的警告。我的理解是任何指针都可以隐式转换为void*，因此我猜测指针的地址也可以转换为void**。

与此同时，我将secure_free() 重写为一个宏，这解决了警告，但我想知道编译器为什么会抱怨。

文件securefree.c

#include <stdlib.h>
#include <stdint.h>
#include <string.h>

#define STRING_BUFFER_LEN 10

/**
 * Securely erases a heap-allocated memory section, frees it and sets its
 * pointer to NULL to avoid use-after-free and double-free.
 */
static void secure_free(void** p_p_data, size_t length_in_bytes)
{
    if (p_p_data == NULL || *p_p_data == NULL)
    { return; }
    memset(*p_p_data, 0, length_in_bytes);
    free(*p_p_data);
    *p_p_data = NULL;
}

int main(void)
{
    // Allocate some data
    char* my_string = calloc(STRING_BUFFER_LEN, sizeof(char));
    if (my_string == NULL) { return 1; }
    // Use the allocated space in some way
    my_string[0] = 'a';
    my_string[1] = 'b';
    // Free using the dedicated function
    secure_free(&my_string, STRING_BUFFER_LEN);
    return 0;
}

使用 GCC 编译（Rev6，由 MSYS2 项目构建，10.2.0）：

$ gcc securefree.c -o securefree
securefree.c: In function 'main':
securefree.c:29:17: warning: passing argument 1 of 'secure_free' from incompatible pointer type [-Wincompatible-pointer-types]
   29 |     secure_free(&my_string, STRING_BUFFER_LEN);
      |                 ^~~~~~~~~~
      |                 |
      |                 char **
securefree.c:11:32: note: expected 'void **' but argument is of type 'char **'
   11 | static void secure_free(void** p_p_data, size_t length_in_bytes)
      |                         ~~~~~~~^~~~~~~~

编辑：宏版本如下所示

#define secure_free_macro(ptr, len) if ((ptr) != NULL) { \
        memset((ptr), 0, (len)); free(ptr); (ptr) = NULL; }

Answer 1

你试图做的事情不能移植，因为不同的指针类型可以有不同的表示；并且要将空指针分配给该值，您必须将指针指针 first 转换为指向实际指针变量的 有效类型 的指针 - 这是不可能的.

但是你可以做的是使用宏，它和其他宏一样好，而且使用起来更简单：

#define secure_free(x) (free(x), (x) = 0)

这在没有& 的情况下有效。

Answer 2

C 允许将任何指针隐式 强制转换为void* 作为显式异常。请注意，void 和 char 是不兼容的类型。因此void*、char*、void** 和char** 也不兼容。这就是编译器发出警告的原因。

要绕过此问题，请将函数签名更改为使用void*：

void secure_free(void* ptr, size_t length_in_bytes) {
   void **p_p_data = (void**)ptr;
   ...
}

要添加对参数是指向指针的指针的保护，可以使用宏：

#define secure_free(x,s) ((void)sizeof **(x), secure_free((x), (s)))

• 如果 x 不是指向指针的指针，则表达式 **(x) 将无法编译。
• sizeof 防止在 **(x) 中评估 x 以避免副作用
• (void) 让编译器停止抱怨未使用的值
• 逗号运算符(X,Y)，只返回Y的值，也就是secure_free(...)的返回值
• 使用与函数相同的宏名称允许将secure_free 扩展为宏，仅当它用作函数时。这允许使用secure_free 作为指向函数的指针

补充说明。在代码中

    memset(*p_p_data, 0, length_in_bytes);
    free(*p_p_data);

编译器可能会优化出memset()。我建议强制转换为volatile void * 以强制编译器生成清除代码。

编辑

此外，由于memset 丢弃了volatile 限定符，因此可能会使用循环清除内容。