Rust

2025年10月02日更新 8 人订阅
原价: ¥ 6 限时优惠
专栏简介 Rust编程语言之错误处理 Rust 语言之 flod Rust编程语言之Cargo、Crates.io详解 Rust编程语言之枚举与模式匹配 Rust语言 - 接口设计的建议之受约束(Constrained) Rust编程语言之无畏并发 Rust语言 - 接口设计的建议之灵活(flexible) Rust语言 - 接口设计的建议之显而易见(Obvious) Rust语言 - 接口设计的建议之不意外(unsurprising) Rust 实战:构建实用的 CLI 工具 HTTPie Rust编程语言学习之高级特性 Rust内存管理揭秘:深度剖析指针与智能指针 解决Rust中数组和切片的编译时大小问题 《Rust编程之道》学习笔记一 Rust Async 异步编程 简易教程 使用 Async Rust 构建简单的 P2P 节点 Rust编程语言入门之模式匹配 Rust async 编程 Rust编程语言之编写自动化测试 Rust编程语言之函数式语言特性:迭代器和闭包 《Rust编程之道》学习笔记二 Rust Tips 比较数值 使用 Rust 开发一个微型游戏 Rust编程初探:深入理解Struct结构体 深入理解Rust中的内存管理:栈、堆与静态内存详解 深入理解 Rust 结构体:经典结构体、元组结构体和单元结构体的实现 深入掌握 Rust 结构体:从模板到实例化的完整指南 深入理解Rust中的结构体:逻辑与数据结合的实战示例 深入理解 Rust 枚举:从基础到实践 掌握Rust字符串的精髓:String与&str的最佳实践 全面解析 Rust 模块系统:实战案例与应用技巧 Rust 中的 HashMap 实战指南:理解与优化技巧 掌握Rust模式匹配:从基础语法到实际应用 Rust 中的面向对象编程:特性与实现指南 深入理解 Rust 的 Pin 和 Unpin:理论与实践解析 Rust Trait 与 Go Interface:从设计到实战的深度对比 从零开始:用 Rust 和 Axum 打造高效 Web 应用 Rust 错误处理详解:掌握 anyhow、thiserror 和 snafu Rust 如何优雅实现冒泡排序 链表倒数 K 节点怎么删?Python/Go/Rust 实战 用 Rust 玩转数据存储:JSON 文件持久化实战 Rust实战:打造高效字符串分割函数 如何高效学习一门技术:从知到行的飞轮效应 Rust 编程入门:Struct 让代码更优雅 Rust 编程:零基础入门高性能开发 用 Rust 写个猜数游戏,编程小白也能上手! Rust 入门教程:变量到数据类型,轻松掌握! 深入浅出 Rust:函数、控制流与所有权核心特性解析 从零开始:用 Rust 和 Axum 打造高效 Web 服务 Rust 集合类型解析:Vector、String、HashMap 深入浅出Rust:泛型、Trait与生命周期的硬核指南 Rust实战:博物馆门票限流系统设计与实现 用 Rust 打造高性能图片处理服务器:从零开始实现类似 Thumbor 的功能 Rust 编程入门实战:从零开始抓取网页并转换为 Markdown 深入浅出 Rust:高效处理二进制数据的 Bytes 与 BytesMut 实战 Rust智能指针:解锁内存管理的进阶之道 用 Rust 打造命令行利器:从零到一实现 mini-grep 解锁Rust代码组织:轻松掌握Package、Crate与Module Rust 所有权:从内存管理到生产力释放 深入解析 Rust 的面向对象编程:特性、实现与设计模式 Rust + Protobuf:从零打造高效键值存储项目 bacon 点燃 Rust:比 cargo-watch 更爽的开发体验 用 Rust 打造微型游戏:从零开始的 Flappy Dragon 开发之旅 函数式编程的Rust之旅:闭包与迭代器的深入解析与实践 探索Rust编程之道:从设计哲学到内存安全的学习笔记 精读《Rust编程之道》:吃透语言精要,彻底搞懂所有权与借用 Rust 避坑指南:搞定数值比较,别再让 0.1 + 0.2 != 0.3 困扰你! 告别 Vec!掌握 Rust bytes 库,解锁零拷贝的真正威力 告别竞态条件:基于 Axum 和 Serde 的 Rust 并发状态管理最佳实践 Rust 异步编程实践:从 Tokio 基础到阻塞任务处理模式 Rust 网络编程实战:用 Tokio 手写一个迷你 TCP 反向代理 (minginx) 保姆级教程:Zsh + Oh My Zsh 终极配置,让你的 Ubuntu 终端效率倍增 不止于后端:Rust 在 Web 开发中的崛起之路 (2024数据解读) Rust核心利器:枚举(Enum)与模式匹配(Match),告别空指针,写出优雅健壮的代码 Rust 错误处理终极指南:从 panic! 到 Result 的优雅之道 想用 Rust 开发游戏?这份超详细的入门教程请收好! 用 Rust 实现 HTTPie:一个现代 CLI 工具的构建过程 Rust 异步实战:从0到1,用 Tokio 打造一个高性能并发聊天室 深入 Rust 核心:彻底搞懂指针、引用与智能指针 Rust 生产级后端实战:用 Axum + sqlx 打造高性能短链接服务 深入 Rust 内存模型:栈、堆、所有权与底层原理 Rust 核心概念解析:引用、借用与内部可变性 掌握 Rust 核心:生命周期与借用检查全解析 Rust 内存布局深度解析:从对齐、填充到 repr 属性 Rust Trait 分派机制:静态与动态的抉择与权衡 Rust Thread::Builder 用法详解:线程命名与栈大小设置 Rust 泛型 Trait:关联类型与泛型参数的核心区别 Rust Scoped Threads 实战:更安全、更简洁的并发编程 Rust 核心设计:孤儿规则与代码一致性解析 Rust 实战:从零构建一个多线程 Web 服务器 Rust Web 开发实战:构建教师管理 API 硬核实战:从零到一,用 Rust 和 Axum 构建高性能聊天服务后端 Rust Web 开发实战:使用 SQLx 连接 PostgreSQL 数据库 硬核入门:从零开始,用 Actix Web 构建你的第一个 Rust REST API (推荐 🔥) Rust 并发编程:详解线程间数据共享的几种核心方法 Rust并发安全基石:Mutex与RwLock深度解析 Rust Web实战:构建优雅的 Actix Web 统一错误处理 煮咖啡里的大学问:用 Rust Async/Await 告诉你如何边烧水边磨豆 深入浅出:Rust 原子类型与多线程编程实践 Rust 并发编程利器:OnceCell 与 OnceLock 深度解析 Rust 懒人编程:LazyCell 与 LazyLock 的惰性哲学 Rust 入门精髓:详解 Enum 的三种魔法,从模式匹配到状态管理 Rust 字符串魔法:String 与 &str 的深度解析与实践 Rust 模块化编程:驾驭代码结构与可见性的三大法则 Rust 实用进阶:深度剖析 Rust 生命周期的奥秘 Rust 智能指针大揭秘:Box、Rc、Arc、Cow 深度剖析与应用实践 Rust 并发编程三步曲:Join、Arc<Mutex> 与 mpsc 通道同步实战 Rust 声明宏实战进阶:从基础定义到 #[macro_export] 与多规则重载 Rust 类型转换实战:利用 From/Into Trait 实现带 Default 容错的安全转换 Rust 实战:实现 FromStr Trait,定制化字符串 parse() 与精确错误报告 Rust 实战:TryFrom Trait——如何在类型转换中强制执行业务逻辑检查 Rust 泛型编程基石:AsRef 和 AsMut 的核心作用与实战应用 揭秘 Rust Unsafe 编程:程序员接管内存安全的契约与实践

揭秘 Rust Unsafe 编程:程序员接管内存安全的契约与实践

揭秘RustUnsafe编程:程序员接管内存安全的契约与实践Rust语言以其内存安全性闻名于世,这主要得益于其严格的所有权和借用检查机制。然而,在进行系统级编程、与C/C++代码交互、实现高度优化的数据结构或直接操作硬件时,我们必须进入Rust的“底层世界”——使用unsafe

揭秘 Rust Unsafe 编程:程序员接管内存安全的契约与实践

Rust 语言以其内存安全性闻名于世,这主要得益于其严格的所有权和借用检查机制。然而,在进行系统级编程、与 C/C++ 代码交互、实现高度优化的数据结构或直接操作硬件时,我们必须进入 Rust 的“底层世界”——使用 unsafe 关键字。

unsafe 存在的意义并非允许我们为所欲为,而是要求我们履行一份安全契约(Safety Contract)。一旦使用了 unsafe,编译器就会信任你能够像编写 C 语言一样,手动保证代码的内存安全。本文将通过两个经典且实用的示例,揭示如何在 unsafe 环境下,通过明确的文档和代码保证代码的健全性。

实操:Unsafe 的契约与裸指针

示例一:通过裸指针修改内存

// An `unsafe` in Rust serves as a contract.
//
// When `unsafe` is marked on an item declaration, such as a function,
// a trait or so on, it declares a contract alongside it. However,
// the content of the contract cannot be expressed only by a single keyword.
// Hence, its your responsibility to manually state it in the `# Safety`
// section of your documentation comment on the item.
//
// When `unsafe` is marked on a code block enclosed by curly braces,
// it declares an observance of some contract, such as the validity of some
// pointer parameter, the ownership of some memory address. However, like
// the text above, you still need to state how the contract is observed in
// the comment on the code block.
//
// NOTE: All the comments are for the readability and the maintainability of
// your code, while the Rust compiler hands its trust of soundness of your
// code to yourself! If you cannot prove the memory safety and soundness of
// your own code, take a step back and use safe code instead!

/// # Safety
///
/// The `address` must contain a mutable reference to a valid `u32` value.
unsafe fn modify_by_address(address: usize) {
    unsafe {
        *(address as *mut u32) = 0xAABBCCDD;
    }
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn test_success() {
        let mut t: u32 = 0x12345678;
        // SAFETY: The address is guaranteed to be valid and contains
        // a unique reference to a `u32` local variable.
        unsafe { modify_by_address(&mut t as *mut u32 as usize) };
        assert!(t == 0xAABBCCDD);
    }
}

这段 Rust 代码的核心在于演示和解释 unsafe 关键字在 Rust 中的作用、以及它所伴随的安全契约(Safety Contract)。代码实现了一个名为 modify_by_address 的不安全函数,其目的是通过内存地址直接修改一个 u32 变量的值。unsafe 关键字本身并不关闭 Rust 的安全检查,而是将内存安全和代码健全性的责任从编译器转移给了程序员。

具体来说:

  1. 函数声明前的 unsafe unsafe fn modify_by_address(address: usize) 声明了一个不安全函数,这意味着调用者必须自行保证满足函数文档中的安全条件。在这里,安全契约在 # Safety 文档注释中明确指出:传入的 address 必须是一个有效的、指向可变 u32 值的内存地址。
  2. 函数体内的 unsafe 块: unsafe { *(address as *mut u32) = 0xAABBCCDD; } 标记了执行不安全操作的代码块。该代码将传入的整数地址 (usize) 强制转换为一个可变的裸指针 (*mut u32),然后通过解引用 (*) 直接向该内存位置写入新的十六进制值 0xAABBCCDD。这种裸指针操作是绕过 Rust 所有权和借用检查的,因此必须放在 unsafe 块中。
  3. 测试用例中的 unsafe 块:test_success 函数中,调用者通过 &mut t as *mut u32 as usize 将一个局部可变变量 t 的地址以 usize 类型传递给 modify_by_address。调用前的 unsafe { ... } 块表明程序员正在遵守函数声明时的安全契约,即保证这个地址是有效且独占的,从而确保了这次操作的内存安全性。

总之,这段代码是教科书式的示例,旨在教育开发者在编写 unsafe Rust 时,必须清晰地定义和遵守安全契约,以保持代码的可读性和内存安全性,因为编译器此时已经信任了开发者的判断。

实操:所有权与裸指针的转换

示例二:Box::from_raw 的应用

// In this example we take a shallow dive into the Rust standard library's
// unsafe functions.

struct Foo {
    a: u128,
    b: Option&lt;String>,
}

/// # Safety
///
/// The `ptr` must contain an owned box of `Foo`.
unsafe fn raw_pointer_to_box(ptr: *mut Foo) -> Box&lt;Foo> {
    // SAFETY: The `ptr` contains an owned box of `Foo` by contract. 
    let mut ret: Box&lt;Foo> = unsafe { Box::from_raw(ptr) };
    ret.b = Some("hello".to_owned());
    ret
}

#[cfg(test)]
mod tests {
    use super::*;
    use std::time::Instant;

    #[test]
    fn test_success() {
        let data = Box::new(Foo { a: 1, b: None });

        let ptr_1 = &data.a as *const u128 as usize;
        // SAFETY: We pass an owned box of `Foo`.
        let ret = unsafe { raw_pointer_to_box(Box::into_raw(data)) };

        let ptr_2 = &ret.a as *const u128 as usize;

        assert!(ptr_1 == ptr_2);
        assert!(ret.b == Some("hello".to_owned()));
    }
}

这段 Rust 代码的核心在于探索标准库中的不安全函数 Box::from_raw,它演示了如何在所有权裸指针之间进行转换,并强调了使用 unsafe 时的安全契约。

代码定义了一个结构体 Foo 和一个不安全函数 raw_pointer_to_box,该函数接受一个裸指针 *mut Foo 作为输入,并将其转换为 Rust 的智能指针 Box&lt;Foo>。要完成这种转换,开发者必须使用 Box::from_raw,这是一个不安全的标准库函数。它的安全契约是:传入的裸指针必须是先前通过 Box::into_raw 创建的,并且该指针指向的内存块当前没有其他拥有者(即它是一个唯一的、有效的 Box)。

在代码中:

  1. Box::into_raw(data)data: Box&lt;Foo> 消耗掉,返回一个裸指针 ptr。此时,data 变量不再拥有内存的所有权,但内存本身仍然存活。
  2. raw_pointer_to_box(ptr) 负责接收这个裸指针,并在内部使用 Box::from_raw(ptr) 将其重新封装Box&lt;Foo>。这不仅重新构建了 Box 结构,更重要的是,它重新建立了 Rust 的所有权
  3. 测试用例通过断言 ptr_1 == ptr_2 证明了 Box::into_rawBox::from_raw 只是在所有权结构上进行了转换,内存地址本身保持不变

整个过程强调了 unsafe 编程的契约性:程序员必须保证传入 Box::from_raw 的指针是有效的、且是唯一的 Box 所有权来源,否则就会导致内存重复释放(Double Free)等未定义行为,从而破坏 Rust 的内存安全保证。

总结

这两个示例清楚地展示了 unsafe 代码的本质:它是一把双刃剑,赋予了我们强大的底层控制力,但要求我们承担全部的安全责任

unsafe 并不意味着可以关闭所有检查,它只是将部分责任转移给你。

在编写 unsafe 代码时,以下几点至关重要:

  1. 明确契约: 每一个 unsafe fnunsafe trait 都必须在文档中通过 # Safety 部分明确定义调用者需要满足的所有先决条件。
  2. 遵守契约: 每一个 unsafe 块都必须通过注释说明为什么这个块内的代码是安全的,即它是如何遵守外部安全契约的。
  3. 自我证明: 如果你无法证明一段 unsafe 代码是内存安全的(例如,不会导致数据竞争、内存泄漏或未定义行为),请不要使用它。

只有严格遵守这些规范,我们才能在享受 Rust 零抽象开销的性能优势时,仍然维护代码的最高安全标准。

参考

点赞 0
收藏 0
分享
本文参与登链社区写作激励计划 ,好文好收益,欢迎正在阅读的你也加入。

0 条评论

请先 登录 后评论