假设我们有一个单一地址空间的操作系统。为了保持稳定性,我们需要强制用户应用程序的内存保护,例如禁止使用'不安全'关键字,除非用户具有特殊功能。
我们的用户需要有一种方法可以安全地从/向字节流(例如文件)读/写任意结构。当然,我们谈论的是不包含引用的结构(否则我们会失去内存安全性)。
现在我尝试实现这种通用阅读器功能:
#![feature(core)]
use std::io;
use std::mem;
use std::raw;
fn read<T>(reader: &mut io::Read, dest: &mut T) -> io::Result<usize> {
let slice = raw::Slice{ data:dest, len:mem::size_of::<T>() };
let buf: &mut [u8] = unsafe { mem::transmute(slice) };
reader.read(buf)
}
上述实施存在严重问题。它允许读取包含引用的结构。那我怎么解决这个问题呢?
答案 0 :(得分:5)
您可以使用所谓的“标记特征”:一种自定义的不安全特征,所有类型都有默认impl,所有参考都有负特征impl。由于您禁止unsafe的所有使用,因此用户无法自行实现特征,因此对于任何具有引用的类型都不能实现特征。
你可能还应该在负片段中包含原始指针(*mut和*const)...否则用户可以反序列化Vec或其他一些“安全”类型内心不安全。
#![feature(optin_builtin_traits)]
unsafe trait NoInnerRefs {}
impl<'a, T> !NoInnerRefs for &'a T {}
unsafe impl NoInnerRefs for .. {}
struct A(&'static str);
struct B(i32);
fn test<T: NoInnerRefs>(_: T) {
}
fn main() {
test(B(5));
test(A("hi"));
}
这将无法编译:
<anon>:17:5: 17:9 error: the trait `NoInnerRefs` is not implemented for the type `&'static str` [E0277]
<anon>:17 test(A("hi"));
^~~~