Question

char *cp = (char *) malloc(1);
strcpy(cp, "123456789");
puts(cp);

gcc（Linux）和Visual C ++ Express上的

输出是“123456789”，这是否意味着当有空闲内存时，我实际上可以使用的内容超过我用malloc()分配的内容？

以及为什么malloc(0)不会导致运行时错误？

感谢。

Answer 1

你问过一个非常好的问题，也许这会激起你对操作系统的兴趣。您已经知道自己已经设法通过此代码实现了一些您通常不希望做的事情。因此，您永远不会在想要移植的代码中执行此操作。

更具体地说，这完全取决于您的操作系统和CPU架构，操作系统会为您的程序分配“页面”内存 - 通常这可能是4千字节的顺序。操作系统是页面的守护者，将立即终止尝试访问尚未分配的页面的任何程序。

另一方面，

malloc不是操作系统函数，而是C库调用。它可以通过多种方式实现。您对malloc的调用可能会导致来自操作系统的页面请求。然后malloc决定给你一个指向该页面内单个字节的指针。当你从你给出的位置写入内存时，你只是写在操作系统授予你程序的“页面”中，因此操作系统不会看到任何错误的操作。

当然，当您继续致电malloc以分配更多内存时，真正的问题就会开始。它最终将返回指向您刚刚写入的位置的指针。当您写入合法的内存位置（从操作系统的角度来看）时，这称为“缓冲区溢出”，但可能会覆盖程序的另一部分也将使用的内存。

如果你继续了解这个主题，你将开始理解如何使用这种“缓冲区溢出”技术来利用程序 - 甚至可以开始将汇编语言指令直接写入将要存储的内存区域。由你的程序的另一部分执行。

当你进入这个阶段时，你将获得很多智慧。但请遵守道德规范，不要用它来破坏宇宙！

PS当我说“操作系统”时，我的意思是“操作系统与特权CPU访问一起”。如果进程尝试使用尚未分配给该进程的页面，则CPU和MMU（内存管理单元）会触发特定的操作系统中断或回调。然后，操作系统会干净地关闭您的应用程序，并允许系统继续运行。在过去，在内存管理单元和特权CPU指令之前，你几乎可以随时在内存中的任何地方写入 - 然后你的系统将完全受到内存写入后果的支配！

Answer 2

没有。您得到未定义的行为。这意味着任何事情都可能发生，从它崩溃（yay）到它“工作”（boo），重新格式化你的硬盘并填充文本文件，说“UB，UB，UB ......”（wat）。 / p>

在此之后想知道会发生什么是没有意义的，因为它取决于你的编译器，平台，环境，时间，最喜欢的汽水等等，所有这些都可以随心所欲地做任何他们想要的事情。

更具体地说，使用未分配的任何内存是未定义的行为。你从malloc(1)得到一个字节，就是这样。

Answer 3

当您向malloc询问1个字节时，它可能会从操作系统获得1页（通常为4KB）。此页面将分配给调用进程，因此只要您不离开页面边界，就不会有任何问题。

但请注意，它绝对是未定义的行为！

考虑使用malloc时可能发生的以下（假设）示例：

malloc(1)
如果malloc 内部内存不足，它会向操作系统询问更多内容。它通常会收到一个页面。假设它的大小为4KB，地址从0x1000开始
您的通话会返回给您使用的地址0x1000。由于您要求1个字节，如果您仅使用地址0x1000，则已定义行为。
由于操作系统刚刚从地址0x1000开始为您的进程分配4KB内存，因此如果您从/向地址0x1000-0x1fff读取/写入内容，它将不会抱怨。所以你可以愉快地这样做，但它是未定义的行为。
假设你做了另一个malloc(1)
现在malloc仍有一些内存，所以不需要向操作系统询问更多内存。它可能会返回地址0x1001。
如果您使用第一个malloc提供的地址写入超过1个字节，则在使用第二个malloc中的地址时会遇到麻烦，因为您将覆盖数据。

所以重点是你肯定从malloc 得到1个字节，但它可能是malloc内部有更多的内存分配给你进程。

Answer 4

没有。这意味着您的程序表现不佳。它写入它不拥有的内存位置。

Answer 5

你得到未定义的行为 - 任何事情都可能发生。不要这样做，也不要猜测它是否有效。也许它会破坏记忆，你不会立刻看到它。仅访问分配的块大小内的内存。

Answer 6

您可能被允许使用，直到内存到达某个程序内存或您的应用程序很可能因访问受保护的内存而崩溃的其他点

Answer 7

如此多的回应，只有一个给出了正确的解释。虽然页面大小，缓冲区溢出和未定义的行为故事都是真实的（并且很重要），但它们并不完全回答原始问题。实际上，任何合理的malloc实现都将至少分配int或void *的对齐要求的大小。为什么，因为如果它只分配了1个字节，那么下一个内存块将不再对齐。总是有一些书籍保存围绕你分配的块的数据，这些数据结构几乎总是与4的倍数对齐。虽然一些架构可以访问未对齐地址（x86）上的单词，但它们确实会因此而受到一些惩罚，因此分配器实现者避免这样做。即使在slab分配器中，也没有必要设置一个1字节的池，因为实际上很小的分配很少。所以很可能你的malloc字节中有4或8个字节的真实空间（这并不意味着你可以使用那个'功能'，这是错误的。）

编辑此外，大多数malloc会保留比要求时更大的块，以避免在调用realloc时进行多次复制操作。作为测试，您可以尝试在增加分配大小的循环中使用realloc并比较返回的指针，您将看到它仅在某个阈值之后发生变化。

Answer 8

你在那里很幸运。您正在写入您不拥有的位置，这会导致未定义的行为。

Answer 9

在大多数平台上，您不能只分配一个字节。 malloc通常还会做一些内务处理来记住分配的内存量。这就产生了这样一个事实：您通常会“分配”向下舍入到下一个4或8个字节的内存。但这不是一种定义的行为。

如果你多使用几个字节，你就会非常喜欢访问冲突。

Answer 10

要回答您的第二个问题，该标准明确要求malloc(0)合法。返回值取决于实现，可以是NULL或常规内存地址。在任何一种情况下，您都可以（并且应该）在完成后合法地在返回值上调用free。即使非NULL，您也不得访问该地址的数据。

Answer 11

malloc 分配您在堆中询问的内存量，然后返回一个指向void（void *）的指针，该指针可以转换为您想要的任何内容。

程序员的责任仅使用已分配的内存。在不应该的地方写入（甚至在受保护的环境中读取）可能会在执行时间导致各种随机问题。如果您幸运您的程序会立即崩溃并出现异常，您可以轻松找到该错误并进行修复。如果你不幸运，它将随机崩溃或产生意外行为。

对于墨菲定律，“任何可能出错的东西，都会出错”并作为其中的必然结果，“它会出错正确的时间，产生最大量的伤害“。遗憾的是，这是真的。防止这种情况发生的唯一方法是避免使用那种能够实际执行此类操作的语言。

现代语言不允许程序员在内存中写入他/她不应该写的内容（至少做标准编程）。这就是Java如何获得它的动力。我更喜欢 C ++ 到C。您仍然可以使用指针进行修复，但不太可能。这就是 Smart Pointers 如此受欢迎的原因。

为了解决这些问题，malloc库的调试版可以很方便。您需要定期调用检查功能以检测内存是否已损坏。当我以前在工作中密集使用C / C ++时，我们使用 Rational Purify ，在实践中替换标准的malloc（C ++中的新内容）和free（在C ++中删除）并且它能够返回准确报告程序在哪里做了一些不应该做的事情。但是，您永远不会确定100％您的代码中没有任何错误。如果您的情况极少发生，那么当您执行该程序时，您可能不会遇到这种情况。它最终会在最繁忙的一天生成最敏感的数据（根据墨菲定律; - ）

Answer 12

如果传递的大小为零，并且ptr不为NULL，则调用等效于免费。

Answer 13

我的回答是回复Why does printf not seg fault or produce garbage?

来自

Denis Ritchie撰写的C编程语言＆amp; Kernighan的

 typedef long Align;    /* for alignment to long boundary */
   union header {         /* block header */
       struct {
           union header *ptr; /* next block if on free list */
           unsigned size;     /* size of this block */
       } s;
       Align x;           /* force alignment of blocks */
   };
   typedef union header Header;

永远不会使用Align字段; 它只会强制每个标题在最坏情况边界上对齐。在malloc中，请求的字符大小向上舍入为正确数量的标题大小的单位;要分配的块包含另一个单位，对于header本身，这是记录在中的值标题的size字段。 malloc返回的指针指向可用空间，而不是标题本身。

用户可以对请求的空间执行任何操作，但如果在分配的空间之外写入任何内容，则列表可能会被加扰。

   -----------------------------------------
   |        |     SIZE     |               |
   -----------------------------------------
     |        |
  points to   |-----address returned touser
   next free
   block
        -> a block returned by malloc

声明

char* test = malloc(1);

如果请求的字节可用，

malloc（）将尝试从RAM的堆部分搜索连续的字节，并返回address，如下所示

 --------------------------------------------------------------
| free memory  | memory in size allocated for user |           |
----------------------------------------------------------------
                                                              0x100(assume address returned by malloc)
                                                              test

因此，当malloc(1)执行时，它不会仅分配1个字节，它会分配一些extra个字节来维护上面的结构/堆表。您可以通过打印1找出仅请求test[-1]字节时分配的实际内存量，因为只是在该块包含大小之前。

char* test = malloc(1);
printf("memory allocated in bytes = %d\n",test[-1]);

Answer 14

strcpy（）不检查它写入的内存是否已分配。它只获取目标地址并按字符写入源字符，直到达到'\ 0'。因此，如果分配的目标内存小于源，则只需写入内存。这是一个危险的错误，因为它很难追踪。

puts（）写入字符串，直到达到'\ 0'。

我的猜测是malloc（0）只返回NULL并且不会导致运行时错误。

Answer 15

没有“C运行时”。 C是美化汇编程序。它会很乐意让你走遍地址空间并随心所欲地做任何事情，这就是为什么它是编写OS内核的首选语言。您的程序是堆损坏错误的示例，这是一个常见的安全漏洞。如果你写了一个足够长的字符串到那个地址，你最终会超出堆的末尾并得到一个分段错误，但是在你首先覆盖很多其他重要事情之前不会这样。

当malloc（）在其保留池中没有足够的可用内存来满足分配时，它会以至少4 kb的块的形式从内核中抓取页面，并且通常要大得多，所以你可能会写入保留但是当你最初超出你的分配范围时，un-malloc（）ed空间，这就是你的测试用例总是有效的原因。实际上，尊重分配地址和大小是完全自愿的，因此您可以为指针分配一个随机地址，而根本不调用malloc（），并开始将其作为字符串使用，并且只要该随机地址恰好位于一个像堆或堆栈这样的可写内存段，一切似乎都会起作用，至少在你试图通过这种方式使用你正在腐败的内存之前。

Answer 16

你应该在c ++中使用new和delete运算符...并且一个安全的指针来控制那些操作没有达到分配的数组的限制......

Answer 17

可能是你处于调试模式，对malloc的调用实际上会调用_malloc_dbg。调试版本将分配比您要求的更多空间来处理缓冲区溢出。我想如果你在发布模式下运行它，你可能（希望）会发生崩溃。

我可以使用比使用malloc（）分配的内存更多的内存，为什么？

17 个答案: