为什么固定大小的缓冲区(数组)一定是不安全的?

问题描述 投票:0回答:2

假设我想要一个 7 字节(或 3 或 777)的值类型。

我可以这样定义:

public struct Buffer71
{
    public byte b0;
    public byte b1;
    public byte b2;
    public byte b3;
    public byte b4;
    public byte b5;
    public byte b6;
}

定义它的更简单方法是使用固定缓冲区

public struct Buffer72
{
    public unsafe fixed byte bs[7];
}

当然第二个定义更简单。问题在于必须为固定缓冲区提供的不安全关键字。我知道这是使用指针实现的,因此不安全。

我的问题是为什么它一定是不安全的?为什么 C# 不能提供任意定长数组并将它们保留为值类型,而不是使其成为 C# 引用类型数组或不安全缓冲区?

c# arrays unsafe fixed value-type
2个回答
12
投票

因为“固定缓冲区”不是真正的数组。它是一种自定义值类型,是我所知道的用 C# 语言生成的唯一方法。 CLR 无法验证数组的索引是否以安全的方式完成。该代码也不可验证。最形象的演示:

using System;

class Program {
    static unsafe void Main(string[] args) {
        var buf = new Buffer72();
        Console.WriteLine(buf.bs[8]);
        Console.ReadLine();
    }
}
public struct Buffer72 {
    public unsafe fixed byte bs[7];
}

本例中你可以任意访问栈帧。恶意代码可以使用标准缓冲区溢出注入技术来修补函数返回地址并强制您的代码跳转到任意位置。

是的,那很不安全。

0
投票

就像那些现在发现这个的人的注释。

从 C#10 开始,您可以直接在结构上定义和分配字段。结合 

readonly
修饰符,这允许您(几乎)保证对可变引用类型(或可变 
struct
类型)的不可变引用,包括数组。

public struct Test
{
    public readonly int[] fixedSizeArray = new int [5];
    /// <summary>I'm important, don't forget me.</summary>
    public Test() {}
}

唯一的警告是:

  1. 就像所有
    readonly
    字段一样,我相信这可以在构造函数中根据需要进行修改(这应该不是太大的问题,只要你小心不要在你的构造函数中重新分配它,我相信结构不能派生自)。
    • 为了正确使用它,我相信你必须显式定义无参数构造函数,因为如果不这样做意味着对于使用隐式公共无参数构造函数的所有实例,所有字段都将设置为其默认的未初始化值(例如
      int i;
      将是 
      0
      ,任何引用类型(如数组)将是 
      null
      ),忽略显式初始化器(出于某种原因,我不太确定)。也就是说,声明公共无参数构造函数(也在 C#10 中引入)并将其留空应该会导致所需的行为(至少如果我正在阅读 docsfeature proposal 正确)。因此,为了使我们之前的示例能够正常工作,它必须具有(看似)无用的无参数构造函数。这行不通:
// THIS WON'T WORK
public struct Test
{
    public readonly int[] fixedSizeArray = new int[5];
}
  1. 使用 
    default
    运算符     将始终跳过任何和所有构造函数,因此人们理论上可以创建没有正确大小的结构实例。话虽这么说,该领域仍然是
    readonly
    ,所以我很确定没有人能够快速拉动并错误地使用它,因为他们会被
    null
    阵列卡住。话虽这么说,作为一个边缘案例,它仍然值得注意。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.