文章目录深入理解 Rust 裸指针内存操作的双刃剑什么是裸指针裸指针的创建方式一从引用转换最常用方式二从内存地址创建方式三创建空指针方式四从智能指针转换裸指针的操作裸指针的解引用裸指针的运算开发应用场景FFI 交互自定义智能指针性能敏感场景的优化裸指针的安全契约与最佳实践必须遵守的安全契约最佳实践总结深入理解 Rust 裸指针内存操作的双刃剑Rust 凭借严格的所有权规则和借用检查器从根源上规避了空指针、悬垂引用、数据竞争等常见内存问题。但在实际开发中我们总会遇到需要突破安全边界的场景比如与 C 语言交互、手动管理内存、操作硬件资源或是追求极致的性能优化。此时就需要用到 Rust 提供的裸指针Raw Pointer了。什么是裸指针裸指针本质上是直接指向内存地址的原始指针它仅包含内存地址信息不携带任何生命周期、所有权或借用规则的约束与 C 语言中的指针极为相似。Rust 提供了两种裸指针类型分别对应“不可变”和“可变”两种语义二者均属于原生类型可直接使用且无需引入额外模块const T不可变裸指针。指向类型为 T 的内存地址仅允许读取该地址上的数据不允许修改。需要注意的是这里的“不可变”仅针对指针指向的数据指针本身可以被赋值、移动与 Rust 中的不可变引用T并非完全等同。*mut T可变裸指针。指向类型为 T 的内存地址既允许读取数据也允许修改数据指针本身同样可以被赋值、移动。裸指针可以为空、可以悬垂、可以同时指向同一块内存打破借用规则但这些特性也意味着任何对裸指针的操作都可能引发未定义行为Undefined Behavior, UB因此 Rust 要求所有裸指针的操作必须包裹在unsafe块中。这里需要明确的是unsafe关键字并非“不安全”的许可而是告诉编译器“开发者已确认这段代码的安全性”并将内存安全的责任转移给开发者而非编译器兜底。裸指针的创建裸指针的创建有多种方式最常见的是从 Rust 引用或智能指针转换而来也可以直接从内存地址创建或创建空指针。方式一从引用转换最常用通过as关键字可以将安全的引用T/mut T转换为对应的裸指针这种方式是最安全的创建方式因为引用本身由编译器保证有效。fnmain(){// 不可变引用转换为 *const Tletx10;letptr_constxas*consti32;// 可变引用转换为 *mut Tletmuty20;letptr_mutmutyas*muti32;// 也可以隐式转换不推荐显式转换更易提醒开发者注意裸指针的使用letptr_const_implicitx;}方式二从内存地址创建直接将一个内存地址以 usize 类型表示转换为裸指针这种方式风险极高需要开发者确保该地址指向有效、对齐的内存否则会引发未定义行为。fnmain(){// 假设 0x12345678 是一个有效的 i32 内存地址实际开发中切勿随意使用letaddr:usize0x12345678;letptraddras*consti32;}方式三创建空指针使用std::ptr::null()和std::ptr::null_mut()可以创建空指针分别对应*const T和*mut T类型。空指针本身是合法的但解引用空指针会引发未定义行为因此使用前需通过is_null()方法检查。usestd::ptr;fnmain(){// 空的不可变裸指针letnull_const:*consti32ptr::null();assert!(null_const.is_null());// 空的可变裸指针letnull_mut:*muti32ptr::null_mut();assert!(null_mut.is_null());}方式四从智能指针转换对于 Box、Rc 等智能指针可以通过into_raw()方法将其转换为裸指针转换后智能指针将不再管理内存开发者需要手动负责内存的释放否则会导致内存泄漏。fnmain(){// Box 转换为裸指针letboxedBox::new(30);letptr:*muti32Box::into_raw(boxed);// 注意转换后需手动释放内存unsafe{drop(Box::from_raw(ptr));}}裸指针的操作裸指针的解引用解引用是裸指针最核心的操作即通过指针访问其指向的内存数据。由于裸指针不保证指向有效内存解引用操作必须包裹在unsafe块中且开发者必须确保指针满足三个条件指向有效内存、内存对齐、未被释放。fnmain(){letx10;letptr_constxas*consti32;// 解引用不可变裸指针读取数据unsafe{println!(解引用不可变裸指针{},*ptr_const);// 输出10}letmuty20;letptr_mutmutyas*muti32;// 解引用可变裸指针修改数据unsafe{*ptr_mut200;println!(修改后的数据{},*ptr_mut);// 输出200}// 错误示例解引用空指针会引发未定义行为letnull_ptrstd::ptr::null_mut::i32();unsafe{// *null_ptr 100;}}裸指针的运算裸指针支持偏移offset、加减等算术运算常用于连续内存块如数组的访问。需要注意的是指针运算必须确保结果指向有效内存否则会导致内存越界引发未定义行为。Rust 提供了offset()和add()方法用于指针偏移二者功能一致add()更易读。fnmain(){letarr[10,20,30,40];letptrarr.as_ptr();// 数组首元素的指针unsafe{// 偏移 1 个位置指向第二个元素letptr2ptr.add(1);println!(偏移后的值{},*ptr2);// 输出20// 偏移 3 个位置指向第四个元素letptr4ptr.offset(3);println!(偏移后的值{},*ptr4);// 输出40// 计算两个指针之间的距离letstartarr.as_ptr();letendstart.add(4);println!(指针距离{},end.offset_from(start));// 输出4}}开发应用场景裸指针的“危险性”决定了它不能作为日常开发的首选但在某些特定场景下它是不可替代的如以下这些场景。FFI 交互FFIForeign Function Interface是不同编程语言之间交互的接口Rust 与 C/C 交互时由于 C 语言不理解 Rust 的引用和智能指针只能通过裸指针传递数据。此时裸指针成为了 Rust 与外部语言沟通的“桥梁”。调用 C 函数时需要将 Rust 的引用转换为裸指针传递给 C反之C 函数返回的指针也需要以裸指针的形式在 Rust 中处理且必须由开发者保证指针的有效性。// 声明要调用的 C 函数externC{fnc_abs(input:i32)-i32;// C 标准库的绝对值函数fnc_modify(ptr:*muti32,value:i32);// 接收裸指针并修改数据}fnmain(){// 调用 C 函数 c_abs无需传递指针直接传递基础类型unsafe{letresultc_abs(-3);println!(C 函数计算绝对值{},result);// 输出3}// 调用 C 函数 c_modify传递可变裸指针letmutnum10;letptrmutnumas*muti32;unsafe{c_modify(ptr,100);println!(C 函数修改后的值{},num);// 输出100}}注意上面的示例只声明了要调用的 C 函数并没有进行代码实现与编译链接这里只是展示 Rust 侧的代码后续完整的、可运行的示例将会在专门讲 FFI 的文章中实现。自定义智能指针虽然裸指针本身不安全但它是构建安全抽象的基石。Rust 标准库中的智能指针如 Box、Vec其底层本质上就是用裸指针实现的通过封装裸指针的不安全操作对外提供安全的 API。例如我们可以自定义一个简单的动态数组使用裸指针管理堆内存通过严格的逻辑保证内存安全对外暴露安全的方法。usestd::{alloc::{Layout,alloc,dealloc},ptr,};// 自定义动态数组底层使用裸指针structRawVecT{ptr:*mutT,// 指向堆内存的裸指针capacity:usize,// 容量len:usize,// 当前长度}implTRawVecT{// 创建一个空的 RawVecfnnew()-Self{RawVec{ptr:ptr::null_mut(),capacity:0,len:0,}}// 向 RawVec 中添加元素fnpush(mutself,value:T){ifself.lenself.capacity{// 容量不足扩容这里简化逻辑实际需要处理内存分配失败的情况letnew_capacityifself.capacity0{4}else{self.capacity*2};letnew_layoutLayout::array::T(new_capacity).unwrap();letnew_ptrunsafe{alloc(new_layout)as*mutT};// 将旧内存的数据复制到新内存if!self.ptr.is_null(){letold_layoutLayout::array::T(self.capacity).unwrap();unsafe{ptr::copy_nonoverlapping(self.ptr,new_ptr,self.len);dealloc(self.ptras*mutu8,old_layout);}}self.ptrnew_ptr;self.capacitynew_capacity;}// 写入新元素不安全操作unsafe{ptr::write(self.ptr.add(self.len),value);}self.len1;}// 读取指定索引的元素fnget(self,index:usize)-OptionT{ifindexself.len{unsafe{Some(*self.ptr.add(index))}}else{None}}}// 实现 Drop 特性手动释放内存避免内存泄漏implTDropforRawVecT{fndrop(mutself){if!self.ptr.is_null(){// 销毁所有元素foriin0..self.len{unsafe{ptr::drop_in_place(self.ptr.add(i));}}// 释放堆内存letlayoutLayout::array::T(self.capacity).unwrap();unsafe{dealloc(self.ptras*mutu8,layout);}}}}fnmain(){letmutvecRawVec::new();vec.push(10);vec.push(20);vec.push(30);println!(元素 0{},vec.get(0).unwrap());// 输出10println!(元素 1{},vec.get(1).unwrap());// 输出20println!(元素 2{},vec.get(2).unwrap());// 输出30}性能敏感场景的优化在高频调用的底层函数或性能敏感场景中裸指针可以避免安全 Rust 中引用检查的额外开销实现更高效的内存访问。例如在处理大规模数组的遍历和修改时使用裸指针可以减少借用检查的开销但必须严格保证指针的有效性和内存安全。需要注意的是安全 Rust 中的引用和切片操作已被编译器高度优化与裸指针的性能差异极小盲目使用裸指针追求性能往往得不偿失甚至会引入安全漏洞。裸指针的安全契约与最佳实践必须遵守的安全契约解引用前必须确保指针指向有效、对齐且未被释放的内存避免悬垂指针指针指向的内存被释放后不可再解引用或传递该指针遵守别名规则可变裸指针*mut T活跃时不可存在其他指向同一内存的指针或引用类型安全不可随意将裸指针转换为不兼容的类型如将*const i32转换为*const String除非能保证类型布局一致线程安全多线程环境中使用裸指针时需通过互斥锁Mutex或原子类型保证线程安全避免数据竞争。最佳实践最小化 unsafe 范围将裸指针的操作限制在最小的unsafe块中避免将整个函数声明为unsafe减少安全风险的扩散范围。添加详细注释对unsafe块、裸指针的操作添加注释说明为什么需要使用裸指针、安全契约是什么、调用者需要注意哪些事项便于代码审计和后续维护。充分测试与审计裸指针是 bug 高发区需针对性编写测试用例如边界值测试、线程安全测试等必要时进行代码审计确保符合安全契约。优先使用安全替代方案尽量避免手动编写unsafe代码优先使用标准库或成熟库提供的安全 API。使用调试工具通过println!(Pointer address: {:p}, ptr)打印指针地址辅助调试裸指针的操作使用内存屏障std::sync::atomic::fence保证多线程环境下指针操作的内存顺序。总结Rust 裸指针是一把双刃剑它赋予了开发者底层内存操作的自由让 Rust 能够应对 FFI 交互、自定义智能指针等安全 Rust 无法覆盖的场景同时也将内存安全的责任完全转移给了开发者。最后需要强调裸指针不是“银弹”日常开发中应优先使用引用和智能指针只有在确实需要突破安全边界时才考虑使用裸指针。