10 个内存引发的大坑，你能躲开几个？（3）

对程序员来说内存相关的 bug 排查难度几乎和多线程问题并驾齐驱，当程序出现运行异常时可能距离真正有 bug 的那行代码已经很远了，这就导致问题定位排查非常困难，这篇文章将总结涉及内存的一些经典 bug ，快来看看你知道几个，或者你的程序中现在有几个。。。

指针大小与指针所指向对象的大小不同

int **create(int n) {int i;int **M = (int **)malloc(n * sizeof(int));
for (i = 0; i < n; i++)  M[i] = (int *)malloc(m * sizeof(int));   return M;}

这段代码的本意是要创建一个n*n二维数组，但其错误出现在了第3行，应该是 sizeof(int *) 而不是sizeof(int)，实际上这行代码创建了一个包含有 n 个 int 的数组，而不是包含 n 个 int 指针的数组。

但有趣的是，这行代码在int和int*大小相同的系统上可以正常运行，但是对于int指针比int要大的系统来说，上述代码同样会覆盖掉数组M之后的一部分内存，这里和上一个例子类似，如果这部分内存是 malloc 用来保存内存分配信息用的，那么也许当释放这段内存时才会出现运行时异常，此时可能已经距离出现问题的那行代码很远了，这类 bug 同样难以排查。

栈缓冲器溢出

void buffer_overflow() {char buf[32];
gets(buf);return;}

上面这段代码总是假定用户的输入不过超过 32 字节，一旦超过后，那么将立刻破坏栈帧中相邻的数据，破坏函数栈帧最好的结果是程序立刻crash，否则和前面的例子一样，也许程序运行很长一段时间后才出现错误，或者程序根本就不会有运行时异常但是会给出错误的计算结果。

实际上在上面几个例子中也会有“溢出”，不过是在堆区上的溢出，但栈缓冲器溢出更容易导致问题，因为栈帧中保存有函数返回地址等重要信息，一类经典的黑客攻击技术就是利用栈缓冲区溢出，其原理也非常简单。

原来，每个函数运行时在栈区都会存在一段栈帧，栈帧中保存有函数返回地址，在正常情况下，一个函数运行完成后会根据栈帧中保存的返回地址跳转到上一个函数，假设函数A调用函数B，那么当函数B运行完成后就会返回函数A，这个过程如图所示：

你可以在《函数运行时在内存中是什么样子》这篇文章中找到关于函数运行时栈帧的详细讲解。

但如果代码中存在栈缓冲区溢出问题，那么在黑客的精心设计下，溢出的部分会“恰好”覆盖掉栈帧中的返回地址，将其修改为一个特定的地址，这个特定的地址中保存有黑客留下的恶意代码，如图所示：

这样当该进程运行起来后实际上是在执行黑客的恶意代码，这就是利用缓冲区溢出进行攻击的一个经典案例。

操作指针所指对象而非指针本身

void delete_one(int** arr, int* size) {  free(arr[*size - 1]);  *size--;}

arr 是一个指针数组，这段代码的本意是要删除掉数组中最后一个元素，同时将数组的大小减一。

但上述代码的问题在于*和--有相同的优先级，该代码实际上会将 size 指针减1而不是把 size 指向的值减1。

如果你足够幸运的话那么上述程序运行到*size--时立刻 crash，这样你就有机会快速发现问题。但更有可能的是上述代码会看上去一切正常的继续运行并返回一个错误的执行结果，这样的bug排查起来会让你终生难忘，因此当不确定优先级时不要吝啬括号，加上它。

总结

内存是计算机系统中至关重要的一个组成部分，C/C++这类偏底层的语言在带来高性能的同事也带来内存相关的无尽问题，而这类问题通常难以排查，不过知彼知己，当你理解了常见的内存相关问题后将极大减少出现此类问题的概率。

希望这个小系列文章对大家理解内存与指针有所帮助。