Rust从入门到精通之精通篇：22.Unsafe Rust 详解

Unsafe Rust 详解

在 Rust 的设计哲学中，安全性是核心原则之一。Rust 的所有权系统、借用检查器和类型系统共同保证了内存安全和线程安全。然而，有些底层操作无法通过 Rust 的安全检查机制进行验证，这就是 unsafe Rust 存在的原因。在本章中，我们将深入探讨 unsafe Rust，了解它的使用场景、原理和最佳实践。

为什么需要 Unsafe Rust

安全抽象的基石

Rust 的许多安全抽象实际上是建立在 unsafe 代码之上的。例如，标准库中的 Vec、String、Box 等类型内部都使用了 unsafe 代码来实现高效的内存管理。

与外部代码交互

当 Rust 需要与其他语言（如 C/C++）编写的代码交互时，通常需要使用 unsafe 代码来桥接不同语言的边界。

性能优化

在某些性能关键的场景中，安全 Rust 的限制可能导致性能损失。通过谨慎使用 unsafe 代码，可以实现更高效的实现。

Unsafe 能力

unsafe 关键字允许你执行以下五种在安全 Rust 中被禁止的操作：

1. 解引用裸指针
2. 调用 unsafe 函数或方法
3. 访问或修改可变静态变量
4. 实现 unsafe trait
5. 访问 union 的字段

让我们逐一探讨这些能力。

1. 解引用裸指针

Rust 提供了两种裸指针类型：*const T 和 *mut T，分别对应不可变和可变引用。与引用不同，裸指针：

• 可以为空
• 不保证指向有效内存
• 可以存在多个指向同一位置的可变裸指针
• 没有生命周期检查
• 不实现自动清理

fn main() {let mut num = 5;// 创建裸指针是安全的let r1 = &num as *const i32;let r2 = &mut num as *mut i32;// 解引用裸指针需要 unsafe 块unsafe {println!("r1 指向的值: {}", *r1);*r2 = 10;println!("修改后的值: {}", *r1);}
}

裸指针的实际应用

裸指针在以下场景中特别有用：

1. 与 C 代码交互：C API 通常使用指针传递数据

use std::ffi::c_void;extern "C" {fn some_c_function(data: *mut c_void);
}fn main() {let mut data = 42;unsafe {some_c_function(&mut data as *mut _ as *mut c_void);}
}

2. 实现自定义数据结构：某些高级数据结构（如无锁数据结构）需要精确控制内存

struct MyBox<T> {ptr: *mut T,
}impl<T> MyBox<T> {fn new(x: T) -> Self {let ptr = Box::into_raw(Box::new(x));MyBox { ptr }}
}impl<T> std::ops::Deref for MyBox<T> {type Target = T;fn deref(&self) -> &Self::Target {unsafe { &*self.ptr }}
}impl<T> Drop for MyBox<T> {fn drop(&mut self) {unsafe {Box::from_raw(self.ptr);}}
}

2. 调用 Unsafe 函数或方法

unsafe 函数是那些在调用时需要满足特定条件，但编译器无法验证这些条件的函数。调用这些函数需要使用 unsafe 块，表明调用者已经确保满足所有必要条件。

// 声明一个 unsafe 函数
unsafe fn dangerous() {println!("这是一个危险操作");// 可能包含不安全操作
}fn main() {// 调用 unsafe 函数需要 unsafe 块unsafe {dangerous();}
}

创建安全抽象

一个常见的模式是使用 unsafe 代码创建安全的抽象。这意味着在内部使用 unsafe 代码，但对外提供安全的 API：

// 一个安全的抽象，内部使用 unsafe
pub struct SafeWrapper {data: *mut i32,len: usize,
}impl SafeWrapper {// 安全的公共 APIpub fn new(size: usize) -> Self {let data = unsafe {// 分配内存let layout = std::alloc::Layout::array::<i32>(size).unwrap();let ptr = std::alloc::alloc(layout) as *mut i32;// 初始化内存for i in 0..size {*ptr.add(i) = 0;}ptr};SafeWrapper { data, len: size }}pub fn get(&self, index: usize) -> Option<i32> {if index < self.len {unsafe {Some(*self.data.add(index))}} else {None}}pub fn set(&mut self, index: usize, value: i32) -> bool {if index < self.len {unsafe {*self.data.add(index) = value;}true} else {false}}
}impl Drop for SafeWrapper {fn drop(&mut self) {unsafe {let layout = std::alloc::Layout::array::<i32>(self.len).unwrap();std::alloc::dealloc(self.data as *mut u8, layout);}}
}

3. 访问或修改可变静态变量

静态变量在整个程序运行期间都存在，其内存位置是固定的。可变静态变量可能导致数据竞争，因此访问它们被认为是不安全的：

// 不可变静态变量是安全的
static HELLO_WORLD: &str = "Hello, world!";// 可变静态变量需要 unsafe 访问
static mut COUNTER: u32 = 0;fn add_to_counter(inc: u32) {unsafe {COUNTER += inc;}
}fn main() {// 读取不可变静态变量是安全的println!("{}", HELLO_WORLD);// 修改可变静态变量需要 unsafeadd_to_counter(3);unsafe {println!("COUNTER: {}", COUNTER);}
}

线程安全的替代方案

在多线程环境中，应该避免使用可变静态变量。替代方案包括：

1. 使用原子类型：

use std::sync::atomic::{AtomicU32, Ordering};static ATOMIC_COUNTER: AtomicU32 = AtomicU32::new(0);fn add_to_counter(inc: u32) {ATOMIC_COUNTER.fetch_add(inc, Ordering::SeqCst);
}fn main() {add_to_counter(3);println!("COUNTER: {}", ATOMIC_COUNTER.load(Ordering::SeqCst));
}

2. 使用互斥锁：

use std::sync::Mutex;
use lazy_static::lazy_static;lazy_static! {static ref MUTEX_COUNTER: Mutex<u32> = Mutex::new(0);
}fn add_to_counter(inc: u32) {let mut counter = MUTEX_COUNTER.lock().unwrap();*counter += inc;
}fn main() {add_to_counter(3);println!("COUNTER: {}", *MUTEX_COUNTER.lock().unwrap());
}

4. 实现 Unsafe Trait

unsafe trait 是那些实现者必须保证某些不变性的 trait，但编译器无法验证这些不变性。

// 声明一个 unsafe trait
unsafe trait Dangerous {fn dangerous_method(&self);
}// 实现 unsafe trait 需要 unsafe impl
struct SafeType;unsafe impl Dangerous for SafeType {fn dangerous_method(&self) {println!("实现了危险特性");}
}fn main() {let safe = SafeType;// 调用 unsafe trait 的方法是安全的safe.dangerous_method();
}

实际应用：Send 和 Sync

Rust 标准库中最著名的 unsafe trait 是 Send 和 Sync：

• Send：表示类型可以安全地在线程间传递所有权
• Sync：表示类型可以安全地在线程间共享引用

// 一个既不是 Send 也不是 Sync 的类型
use std::rc::Rc;
use std::cell::Cell;struct MyNonThreadSafe {data: Rc<Cell<i32>>,
}// 一个手动实现 Send 和 Sync 的类型
struct MyThreadSafe {data: i32,
}// 这是安全的，因为 MyThreadSafe 只包含 i32，它本身就是 Send 和 Sync
unsafe impl Send for MyThreadSafe {}
unsafe impl Sync for MyThreadSafe {}

5. 访问 Union 的字段

union 是一种特殊的数据类型，它允许在同一内存位置存储不同类型的值。由于编译器无法知道当前存储的是哪种类型，访问 union 字段被认为是不安全的：

#[repr(C)]
union MyUnion {i: u32,f: f32,
}fn main() {let u = MyUnion { i: 42 };// 访问 union 字段需要 unsafeunsafe {println!("整数值: {}", u.i);// 危险：解释内存为不同类型let f_val = u.f;println!("浮点值: {}", f_val);}
}

Union 的应用场景

union 主要用于以下场景：

1. 与 C 代码交互：C 语言中的联合体在 Rust 中对应 union
2. 类型转换：在不使用 transmute 的情况下进行类型转换
3. 内存优化：在内存受限的环境中节省空间

// 使用 union 进行类型转换
#[repr(C)]
union FloatBits {f: f32,i: u32,
}fn float_to_bits(f: f32) -> u32 {unsafe { FloatBits { f }.i }
}fn bits_to_float(i: u32) -> f32 {unsafe { FloatBits { i }.f }
}fn main() {let f = 42.42f32;let bits = float_to_bits(f);let f2 = bits_to_float(bits);println!("f: {}, bits: {:x}, f2: {}", f, bits, f2);
}

Unsafe 代码的安全封装

编写 unsafe 代码的关键原则是将不安全代码限制在尽可能小的范围内，并提供安全的抽象。

安全抽象的原则

1. 明确不变性：清楚地定义和记录你的不安全代码所依赖的假设和不变性
2. 最小化 unsafe 块：使 unsafe 块尽可能小，只包含真正需要不安全操作的代码
3. 彻底测试：对包含 unsafe 代码的部分进行全面测试，包括边界情况
4. 清晰文档：详细记录 unsafe 代码的假设、前提条件和不变性

示例：安全封装的 Vec

以下是一个简化版的 Vec 实现，展示了如何安全地封装 unsafe 代码：

pub struct MyVec<T> {ptr: *mut T,len: usize,capacity: usize,
}impl<T> MyVec<T> {pub fn new() -> Self {Self {ptr: std::ptr::null_mut(),len: 0,capacity: 0,}}pub fn with_capacity(capacity: usize) -> Self {let layout = std::alloc::Layout::array::<T>(capacity).unwrap();let ptr = unsafe { std::alloc::alloc(layout) as *mut T };Self {ptr,len: 0,capacity,}}pub fn push(&mut self, value: T) {if self.len == self.capacity {self.grow();}unsafe {std::ptr::write(self.ptr.add(self.len), value);}self.len += 1;}pub fn pop(&mut self) -> Option<T> {if self.len == 0 {return None;}self.len -= 1;unsafe {Some(std::ptr::read(self.ptr.add(self.len)))}}pub fn get(&self, index: usize) -> Option<&T> {if index >= self.len {return None;}unsafe {Some(&*self.ptr.add(index))}}pub fn get_mut(&mut self, index: usize) -> Option<&mut T> {if index >= self.len {return None;}unsafe {Some(&mut *self.ptr.add(index))}}fn grow(&mut self) {let new_capacity = if self.capacity == 0 { 1 } else { self.capacity * 2 };let new_layout = std::alloc::Layout::array::<T>(new_capacity).unwrap();let new_ptr = if self.capacity == 0 {unsafe { std::alloc::alloc(new_layout) as *mut T }} else {let old_layout = std::alloc::Layout::array::<T>(self.capacity).unwrap();unsafe {std::alloc::realloc(self.ptr as *mut u8,old_layout,new_layout.size(),) as *mut T}};self.ptr = new_ptr;self.capacity = new_capacity;}
}impl<T> Drop for MyVec<T> {fn drop(&mut self) {if self.capacity == 0 {return;}// 析构所有元素for i in 0..self.len {unsafe {std::ptr::drop_in_place(self.ptr.add(i));}}// 释放内存unsafe {let layout = std::alloc::Layout::array::<T>(self.capacity).unwrap();std::alloc::dealloc(self.ptr as *mut u8, layout);}}
}

常见的 Unsafe 模式

1. 内存映射

将文件或设备映射到内存中，直接访问：

use std::fs::File;
use memmap2::MmapOptions;fn main() -> std::io::Result<()> {let file = File::open("data.bin")?;let mmap = unsafe { MmapOptions::new().map(&file)? };// 直接访问内存映射的文件内容if mmap.len() >= 8 {let value = unsafe {// 将前 8 个字节解释为 u64let ptr = mmap.as_ptr() as *const u64;*ptr};println!("First 8 bytes as u64: {}", value);}Ok()
}

2. 类型转换

在不同类型之间进行转换，绕过类型系统：

fn transmute_example() {let array: [u8; 4] = [0x12, 0x34, 0x56, 0x78];// 使用 transmute 将字节数组转换为 u32let num: u32 = unsafe { std::mem::transmute(array) };println!("Transmuted value: 0x{:x}", num);// 更安全的替代方法let num2 = u32::from_ne_bytes(array);println!("Safe conversion: 0x{:x}", num2);
}

3. 内存对齐和填充

访问结构体的内部布局和填充：

use std::mem;#[repr(C)]
struct Aligned {a: u8,b: u32,c: u16,
}fn alignment_example() {let instance = Aligned { a: 1, b: 2, c: 3 };let ptr = &instance as *const Aligned as *const u8;println!("Size: {}, Alignment: {}", mem::size_of::<Aligned>(), mem::align_of::<Aligned>());// 访问内部字节，包括填充for i in 0..mem::size_of::<Aligned>() {let byte = unsafe { *ptr.add(i) };println!("Byte at offset {}: 0x{:02x}", i, byte);}
}

Unsafe 代码的常见陷阱

1. 未初始化内存

访问未初始化内存是未定义行为：

fn uninitialized_memory_trap() {// 危险：创建未初始化内存let mut data: [u8; 1000];// 错误：使用未初始化内存// unsafe { println!("{:?}", data); }// 正确：使用 MaybeUninituse std::mem::MaybeUninit;let mut data: [MaybeUninit<u8>; 1000] = unsafe {MaybeUninit::uninit().assume_init()};// 初始化部分数据for i in 0..data.len() {data[i] = MaybeUninit::new(42);}// 安全地转换为初始化数组let initialized_data: [u8; 1000] = unsafe {std::mem::transmute(data)};println!("First byte: {}", initialized_data[0]);
}

2. 悬垂指针

使用已释放的内存是未定义行为：

fn dangling_pointer_trap() {let ptr;{let value = 42;ptr = &value as *const i32;// value 在这里离开作用域并被释放}// 危险：使用悬垂指针// unsafe { println!("{}", *ptr); }// 正确：确保指针有效期内使用let value = 42;let ptr = &value as *const i32;unsafe { println!("{}", *ptr); }
}

3. 数据竞争

多线程同时访问可变数据是未定义行为：

use std::thread;fn data_race_trap() {static mut SHARED: i32 = 0;// 危险：多线程访问可变静态变量let handles: Vec<_> = (0..10).map(|_| {thread::spawn(|| {// 这会导致数据竞争for _ in 0..1000 {unsafe { SHARED += 1; }}})}).collect();for handle in handles {handle.join().unwrap();}// 结果可能不是 10000unsafe { println!("SHARED: {}", SHARED); }// 正确：使用原子操作use std::sync::atomic::{AtomicI32, Ordering};static ATOMIC_SHARED: AtomicI32 = AtomicI32::new(0);let handles: Vec<_> = (0..10).map(|_| {thread::spawn(|| {for _ in 0..1000 {ATOMIC_SHARED.fetch_add(1, Ordering::SeqCst);}})}).collect();for handle in handles {handle.join().unwrap();}// 结果总是 10000println!("ATOMIC_SHARED: {}", ATOMIC_SHARED.load(Ordering::SeqCst));
}

4. 类型混淆

将内存解释为错误的类型是未定义行为：

fn type_confusion_trap() {let value: f64 = 42.5;let ptr = &value as *const f64;// 危险：将 f64 解释为 i32// unsafe { println!("{}", *(ptr as *const i32)); }// 正确：使用适当的类型转换let bits = value.to_bits();println!("f64 as bits: 0x{:x}", bits);
}

调试 Unsafe 代码

工具和技术

1. MIRI（MIR Interpreter）：可以检测许多 unsafe 代码中的未定义行为

rustup +nightly component add miri
cargo +nightly miri test

2. Address Sanitizer：检测内存错误

CRUSTFLAGS="-Z sanitizer=address" cargo test

3. Valgrind：检测内存泄漏和访问错误

valgrind --leak-check=full ./target/debug/my_program

调试技巧

1. 使用断言：在 unsafe 代码中使用断言验证假设

unsafe fn process_buffer(ptr: *mut u8, len: usize) {// 验证指针非空assert!(!ptr.is_null());// 验证长度合理assert!(len > 0 && len <= 1024);// 处理缓冲区...
}

2. 记录不变性：清晰地记录 unsafe 代码的不变性和假设

// 安全不变性：
// 1. ptr 必须指向有效的、对齐的内存区域
// 2. 内存区域必须至少有 len 个字节
// 3. 内存区域在函数执行期间不能被其他代码修改
unsafe fn process_memory(ptr: *const u8, len: usize) {// 实现...
}

最佳实践

何时使用 Unsafe

1. 必要时才使用：只有当安全 Rust 无法表达你的意图时才使用 unsafe
2. 最小化范围：将 unsafe 块限制在尽可能小的范围内
3. 安全封装：将 unsafe 代码封装在安全的抽象后面
4. 彻底测试：对包含 unsafe 代码的部分进行全面测试

文档化 Unsafe 代码

为 unsafe 代码提供详细的文档，包括：

1. 为什么需要 unsafe：解释为什么安全 Rust 不足以解决问题
2. 安全不变性：记录代码依赖的所有假设和不变性
3. 使用条件：明确使用该代码的前提条件
4. 验证策略：描述如何验证代码的正确性

/// 将内存区域解释为指定类型的切片。
///
/// # Safety
///
/// 调用者必须确保：
/// 1. `ptr` 指向有效的、对齐的内存区域
/// 2. 内存区域至少包含 `len * size_of::<T>()` 字节
/// 3. 内存区域包含有效的 T 类型实例
/// 4. 返回的切片在使用期间，内存区域不会被其他代码修改
pub unsafe fn as_slice<T>(ptr: *const T, len: usize) -> &'static [T] {std::slice::from_raw_parts(ptr, len)
}

替代 Unsafe 的安全方法

在使用 unsafe 之前，考虑是否有安全的替代方法：

1. 使用标准库：标准库已经提供了许多安全的抽象
2. **使用第三方