Unsafe Rust 详解
在 Rust 的设计哲学中,安全性是核心原则之一。Rust 的所有权系统、借用检查器和类型系统共同保证了内存安全和线程安全。然而,有些底层操作无法通过 Rust 的安全检查机制进行验证,这就是 unsafe Rust 存在的原因。在本章中,我们将深入探讨 unsafe Rust,了解它的使用场景、原理和最佳实践。
为什么需要 Unsafe Rust
安全抽象的基石
Rust 的许多安全抽象实际上是建立在 unsafe 代码之上的。例如,标准库中的 Vec、String、Box 等类型内部都使用了 unsafe 代码来实现高效的内存管理。
与外部代码交互
当 Rust 需要与其他语言(如 C/C++)编写的代码交互时,通常需要使用 unsafe 代码来桥接不同语言的边界。
性能优化
在某些性能关键的场景中,安全 Rust 的限制可能导致性能损失。通过谨慎使用 unsafe 代码,可以实现更高效的实现。
Unsafe 能力
unsafe 关键字允许你执行以下五种在安全 Rust 中被禁止的操作:
- 解引用裸指针
- 调用
unsafe函数或方法 - 访问或修改可变静态变量
- 实现
unsafetrait - 访问
union的字段
让我们逐一探讨这些能力。
1. 解引用裸指针
Rust 提供了两种裸指针类型:*const T 和 *mut T,分别对应不可变和可变引用。与引用不同,裸指针:
- 可以为空
- 不保证指向有效内存
- 可以存在多个指向同一位置的可变裸指针
- 没有生命周期检查
- 不实现自动清理
fn main() {
let mut num = 5;
// 创建裸指针是安全的
let r1 = &num as *const i32;
let r2 = &mut num as *mut i32;
// 解引用裸指针需要 unsafe 块
unsafe {
println!("r1 指向的值: {}", *r1);
*r2 = 10;
println!("修改后的值: {}", *r1);
}
}
裸指针的实际应用
裸指针在以下场景中特别有用:
- 与 C 代码交互:C API 通常使用指针传递数据
use std::ffi::c_void;
extern "C" {
fn some_c_function(data: *mut c_void);
}
fn main() {
let mut data = 42;
unsafe {
some_c_function(&mut data as *mut _ as *mut c_void);
}
}
- 实现自定义数据结构:某些高级数据结构(如无锁数据结构)需要精确控制内存
struct MyBox<T> {
ptr: *mut T,
}
impl<T> MyBox<T> {
fn new(x: T) -> Self {
let ptr = Box::into_raw(Box::new(x));
MyBox { ptr }
}
}
impl<T> std::ops::Deref for MyBox<T> {
type Target = T;
fn deref(&self) -> &Self::Target {
unsafe { &*self.ptr }
}
}
impl<T> Drop for MyBox<T> {
fn drop(&mut self) {
unsafe {
Box::from_raw(self.ptr);
}
}
}
2. 调用 Unsafe 函数或方法
unsafe 函数是那些在调用时需要满足特定条件,但编译器无法验证这些条件的函数。调用这些函数需要使用 unsafe 块,表明调用者已经确保满足所有必要条件。
// 声明一个 unsafe 函数
unsafe fn dangerous() {
println!("这是一个危险操作");
// 可能包含不安全操作
}
fn main() {
// 调用 unsafe 函数需要 unsafe 块
unsafe {
dangerous();
}
}
创建安全抽象
一个常见的模式是使用 unsafe 代码创建安全的抽象。这意味着在内部使用 unsafe 代码,但对外提供安全的 API:
// 一个安全的抽象,内部使用 unsafe
pub struct SafeWrapper {
data: *mut i32,
len: usize,
}
impl SafeWrapper {
// 安全的公共 API
pub fn new(size: usize) -> Self {
let data = unsafe {
// 分配内存
let layout = std::alloc::Layout::array::<i32>(size).unwrap();
let ptr = std::alloc::alloc(layout) as *mut i32;
// 初始化内存
for i in 0..size {
*ptr.add(i) = 0;
}
ptr
};
SafeWrapper { data, len: size }
}
pub fn get(&self, index: usize) -> Option<i32> {
if index < self.len {
unsafe {
Some(*self.data.add(index))
}
} else {
None
}
}
pub fn set(&mut self, index: usize, value: i32) -> bool {
if index < self.len {
unsafe {
*self.data.add(index) = value;
}
true
} else {
false
}
}
}
impl Drop for SafeWrapper {
fn drop(&mut self) {
unsafe {
let layout = std::alloc::Layout::array::<i32>(self.len).unwrap();
std::alloc::dealloc(self.data as *mut u8, layout);
}
}
}
3. 访问或修改可变静态变量
静态变量在整个程序运行期间都存在,其内存位置是固定的。可变静态变量可能导致数据竞争,因此访问它们被认为是不安全的:
// 不可变静态变量是安全的
static HELLO_WORLD: &str = "Hello, world!";
// 可变静态变量需要 unsafe 访问
static mut COUNTER: u32 = 0;
fn add_to_counter(inc: u32) {
unsafe {
COUNTER += inc;
}
}
fn main() {
// 读取不可变静态变量是安全的
println!("{}", HELLO_WORLD);
// 修改可变静态变量需要 unsafe
add_to_counter(3);
unsafe {
println!("COUNTER: {}", COUNTER);
}
}
线程安全的替代方案
在多线程环境中,应该避免使用可变静态变量。替代方案包括:
- 使用原子类型:
use std::sync::atomic::{AtomicU32, Ordering};
static ATOMIC_COUNTER: AtomicU32 = AtomicU32::new(0);
fn add_to_counter(inc: u32) {
ATOMIC_COUNTER.fetch_add(inc, Ordering::SeqCst);
}
fn main() {
add_to_counter(3);
println!("COUNTER: {}", ATOMIC_COUNTER.load(Ordering::SeqCst));
}
- 使用互斥锁:
use std::sync::Mutex;
use lazy_static::lazy_static;
lazy_static! {
static ref MUTEX_COUNTER: Mutex<u32> = Mutex::new(0);
}
fn add_to_counter(inc: u32) {
let mut counter = MUTEX_COUNTER.lock().unwrap();
*counter += inc;
}
fn main() {
add_to_counter(3);
println!("COUNTER: {}", *MUTEX_COUNTER.lock().unwrap());
}
4. 实现 Unsafe Trait
unsafe trait 是那些实现者必须保证某些不变性的 trait,但编译器无法验证这些不变性。
// 声明一个 unsafe trait
unsafe trait Dangerous {
fn dangerous_method(&self);
}
// 实现 unsafe trait 需要 unsafe impl
struct SafeType;
unsafe impl Dangerous for SafeType {
fn dangerous_method(&self) {
println!("实现了危险特性");
}
}
fn main() {
let safe = SafeType;
// 调用 unsafe trait 的方法是安全的
safe.dangerous_method();
}
实际应用:Send 和 Sync
Rust 标准库中最著名的 unsafe trait 是 Send 和 Sync:
Send:表示类型可以安全地在线程间传递所有权Sync:表示类型可以安全地在线程间共享引用
// 一个既不是 Send 也不是 Sync 的类型
use std::rc::Rc;
use std::cell::Cell;
struct MyNonThreadSafe {
data: Rc<Cell<i32>>,
}
// 一个手动实现 Send 和 Sync 的类型
struct MyThreadSafe {
data: i32,
}
// 这是安全的,因为 MyThreadSafe 只包含 i32,它本身就是 Send 和 Sync
unsafe impl Send for MyThreadSafe {}
unsafe impl Sync for MyThreadSafe {}
5. 访问 Union 的字段
union 是一种特殊的数据类型,它允许在同一内存位置存储不同类型的值。由于编译器无法知道当前存储的是哪种类型,访问 union 字段被认为是不安全的:
#[repr(C)]
union MyUnion {
i: u32,
f: f32,
}
fn main() {
let u = MyUnion { i: 42 };
// 访问 union 字段需要 unsafe
unsafe {
println!("整数值: {}", u.i);
// 危险:解释内存为不同类型
let f_val = u.f;
println!("浮点值: {}", f_val);
}
}
Union 的应用场景
union 主要用于以下场景:
- 与 C 代码交互:C 语言中的联合体在 Rust 中对应
union - 类型转换:在不使用
transmute的情况下进行类型转换 - 内存优化:在内存受限的环境中节省空间
// 使用 union 进行类型转换
#[repr(C)]
union FloatBits {
f: f32,
i: u32,
}
fn float_to_bits(f: f32) -> u32 {
unsafe { FloatBits { f }.i }
}
fn bits_to_float(i: u32) -> f32 {
unsafe { FloatBits { i }.f }
}
fn main() {
let f = 42.42f32;
let bits = float_to_bits(f);
let f2 = bits_to_float(bits);
println!("f: {}, bits: {:x}, f2: {}", f, bits, f2);
}
Unsafe 代码的安全封装
编写 unsafe 代码的关键原则是将不安全代码限制在尽可能小的范围内,并提供安全的抽象。
安全抽象的原则
- 明确不变性:清楚地定义和记录你的不安全代码所依赖的假设和不变性
- 最小化 unsafe 块:使
unsafe块尽可能小,只包含真正需要不安全操作的代码 - 彻底测试:对包含
unsafe代码的部分进行全面测试,包括边界情况 - 清晰文档:详细记录
unsafe代码的假设、前提条件和不变性
示例:安全封装的 Vec
以下是一个简化版的 Vec 实现,展示了如何安全地封装 unsafe 代码:
pub struct MyVec<T> {
ptr: *mut T,
len: usize,
capacity: usize,
}
impl<T> MyVec<T> {
pub fn new() -> Self {
Self {
ptr: std::ptr::null_mut(),
len: 0,
capacity: 0,
}
}
pub fn with_capacity(capacity: usize) -> Self {
let layout = std::alloc::Layout::array::<T>(capacity).unwrap();
let ptr = unsafe { std::alloc::alloc(layout) as *mut T };
Self {
ptr,
len: 0,
capacity,
}
}
pub fn push(&mut self, value: T) {
if self.len == self.capacity {
self.grow();
}
unsafe {
std::ptr::write(self.ptr.add(self.len), value);
}
self.len += 1;
}
pub fn pop(&mut self) -> Option<T> {
if self.len == 0 {
return None;
}
self.len -= 1;
unsafe {
Some(std::ptr::read(self.ptr.add(self.len)))
}
}
pub fn get(&self, index: usize) -> Option<&T> {
if index >= self.len {
return None;
}
unsafe {
Some(&*self.ptr.add(index))
}
}
pub fn get_mut(&mut self, index: usize) -> Option<&mut T> {
if index >= self.len {
return None;
}
unsafe {
Some(&mut *self.ptr.add(index))
}
}
fn grow(&mut self) {
let new_capacity = if self.capacity == 0 { 1 } else { self.capacity * 2 };
let new_layout = std::alloc::Layout::array::<T>(new_capacity).unwrap();
let new_ptr = if self.capacity == 0 {
unsafe { std::alloc::alloc(new_layout) as *mut T }
} else {
let old_layout = std::alloc::Layout::array::<T>(self.capacity).unwrap();
unsafe {
std::alloc::realloc(
self.ptr as *mut u8,
old_layout,
new_layout.size(),
) as *mut T
}
};
self.ptr = new_ptr;
self.capacity = new_capacity;
}
}
impl<T> Drop for MyVec<T> {
fn drop(&mut self) {
if self.capacity == 0 {
return;
}
// 析构所有元素
for i in 0..self.len {
unsafe {
std::ptr::drop_in_place(self.ptr.add(i));
}
}
// 释放内存
unsafe {
let layout = std::alloc::Layout::array::<T>(self.capacity).unwrap();
std::alloc::dealloc(self.ptr as *mut u8, layout);
}
}
}
常见的 Unsafe 模式
1. 内存映射
将文件或设备映射到内存中,直接访问:
use std::fs::File;
use memmap2::MmapOptions;
fn main() -> std::io::Result<()> {
let file = File::open("data.bin")?;
let mmap = unsafe { MmapOptions::new().map(&file)? };
// 直接访问内存映射的文件内容
if mmap.len() >= 8 {
let value = unsafe {
// 将前 8 个字节解释为 u64
let ptr = mmap.as_ptr() as *const u64;
*ptr
};
println!("First 8 bytes as u64: {}", value);
}
Ok()
}
2. 类型转换
在不同类型之间进行转换,绕过类型系统:
fn transmute_example() {
let array: [u8; 4] = [0x12, 0x34, 0x56, 0x78];
// 使用 transmute 将字节数组转换为 u32
let num: u32 = unsafe { std::mem::transmute(array) };
println!("Transmuted value: 0x{:x}", num);
// 更安全的替代方法
let num2 = u32::from_ne_bytes(array);
println!("Safe conversion: 0x{:x}", num2);
}
3. 内存对齐和填充
访问结构体的内部布局和填充:
use std::mem;
#[repr(C)]
struct Aligned {
a: u8,
b: u32,
c: u16,
}
fn alignment_example() {
let instance = Aligned { a: 1, b: 2, c: 3 };
let ptr = &instance as *const Aligned as *const u8;
println!("Size: {}, Alignment: {}", mem::size_of::<Aligned>(), mem::align_of::<Aligned>());
// 访问内部字节,包括填充
for i in 0..mem::size_of::<Aligned>() {
let byte = unsafe { *ptr.add(i) };
println!("Byte at offset {}: 0x{:02x}", i, byte);
}
}
Unsafe 代码的常见陷阱
1. 未初始化内存
访问未初始化内存是未定义行为:
fn uninitialized_memory_trap() {
// 危险:创建未初始化内存
let mut data: [u8; 1000];
// 错误:使用未初始化内存
// unsafe { println!("{:?}", data); }
// 正确:使用 MaybeUninit
use std::mem::MaybeUninit;
let mut data: [MaybeUninit<u8>; 1000] = unsafe {
MaybeUninit::uninit().assume_init()
};
// 初始化部分数据
for i in 0..data.len() {
data[i] = MaybeUninit::new(42);
}
// 安全地转换为初始化数组
let initialized_data: [u8; 1000] = unsafe {
std::mem::transmute(data)
};
println!("First byte: {}", initialized_data[0]);
}
2. 悬垂指针
使用已释放的内存是未定义行为:
fn dangling_pointer_trap() {
let ptr;
{
let value = 42;
ptr = &value as *const i32;
// value 在这里离开作用域并被释放
}
// 危险:使用悬垂指针
// unsafe { println!("{}", *ptr); }
// 正确:确保指针有效期内使用
let value = 42;
let ptr = &value as *const i32;
unsafe { println!("{}", *ptr); }
}
3. 数据竞争
多线程同时访问可变数据是未定义行为:
use std::thread;
fn data_race_trap() {
static mut SHARED: i32 = 0;
// 危险:多线程访问可变静态变量
let handles: Vec<_> = (0..10).map(|_| {
thread::spawn(|| {
// 这会导致数据竞争
for _ in 0..1000 {
unsafe { SHARED += 1; }
}
})
}).collect();
for handle in handles {
handle.join().unwrap();
}
// 结果可能不是 10000
unsafe { println!("SHARED: {}", SHARED); }
// 正确:使用原子操作
use std::sync::atomic::{AtomicI32, Ordering};
static ATOMIC_SHARED: AtomicI32 = AtomicI32::new(0);
let handles: Vec<_> = (0..10).map(|_| {
thread::spawn(|| {
for _ in 0..1000 {
ATOMIC_SHARED.fetch_add(1, Ordering::SeqCst);
}
})
}).collect();
for handle in handles {
handle.join().unwrap();
}
// 结果总是 10000
println!("ATOMIC_SHARED: {}", ATOMIC_SHARED.load(Ordering::SeqCst));
}
4. 类型混淆
将内存解释为错误的类型是未定义行为:
fn type_confusion_trap() {
let value: f64 = 42.5;
let ptr = &value as *const f64;
// 危险:将 f64 解释为 i32
// unsafe { println!("{}", *(ptr as *const i32)); }
// 正确:使用适当的类型转换
let bits = value.to_bits();
println!("f64 as bits: 0x{:x}", bits);
}
调试 Unsafe 代码
工具和技术
- MIRI(MIR Interpreter):可以检测许多
unsafe代码中的未定义行为
rustup +nightly component add miri
cargo +nightly miri test
- Address Sanitizer:检测内存错误
CRUSTFLAGS="-Z sanitizer=address" cargo test
- Valgrind:检测内存泄漏和访问错误
valgrind --leak-check=full ./target/debug/my_program
调试技巧
- 使用断言:在
unsafe代码中使用断言验证假设
unsafe fn process_buffer(ptr: *mut u8, len: usize) {
// 验证指针非空
assert!(!ptr.is_null());
// 验证长度合理
assert!(len > 0 && len <= 1024);
// 处理缓冲区...
}
- 记录不变性:清晰地记录
unsafe代码的不变性和假设
// 安全不变性:
// 1. ptr 必须指向有效的、对齐的内存区域
// 2. 内存区域必须至少有 len 个字节
// 3. 内存区域在函数执行期间不能被其他代码修改
unsafe fn process_memory(ptr: *const u8, len: usize) {
// 实现...
}
最佳实践
何时使用 Unsafe
- 必要时才使用:只有当安全 Rust 无法表达你的意图时才使用
unsafe - 最小化范围:将
unsafe块限制在尽可能小的范围内 - 安全封装:将
unsafe代码封装在安全的抽象后面 - 彻底测试:对包含
unsafe代码的部分进行全面测试
文档化 Unsafe 代码
为 unsafe 代码提供详细的文档,包括:
- 为什么需要
unsafe:解释为什么安全 Rust 不足以解决问题 - 安全不变性:记录代码依赖的所有假设和不变性
- 使用条件:明确使用该代码的前提条件
- 验证策略:描述如何验证代码的正确性
/// 将内存区域解释为指定类型的切片。
///
/// # Safety
///
/// 调用者必须确保:
/// 1. `ptr` 指向有效的、对齐的内存区域
/// 2. 内存区域至少包含 `len * size_of::<T>()` 字节
/// 3. 内存区域包含有效的 T 类型实例
/// 4. 返回的切片在使用期间,内存区域不会被其他代码修改
pub unsafe fn as_slice<T>(ptr: *const T, len: usize) -> &'static [T] {
std::slice::from_raw_parts(ptr, len)
}
替代 Unsafe 的安全方法
在使用 unsafe 之前,考虑是否有安全的替代方法:
- 使用标准库:标准库已经提供了许多安全的抽象
- **使用第三方