关于malloc实际分配内存的探讨

在最近的项目中,发现了一个比较奇怪的bug,bug的最终结果引发了free(): invalid next size (fast)错误,导致程序崩溃。 通常这个问题很常见,就是由于实际写入的内存大小超过了由malloc获取的内存块的大小导致的覆盖,解决方案也很简单,不管是stackoverflow还是其他论坛上对这个问题的解决方案通常都是在实际的大小上+1即可。

在博主正在做的项目中,原先的代码写法是通过strlen获取字符串长度,然后调用malloc来获得这个长度对应的内存块,于是就产生了上述的问题。当然这个问题目前已经解决了,只要strlen + 1 即可,但是奇怪的地方在于在项目中只有特定的字符串会引发这个问题,而并非所有通过这种方式分配的地址都会报错,这是为什么呢?

先说明场景:项目中采用UTF-8编码,并且字符串含有汉字与各类其他字符的组合。首先,utf-8属于变长编码,汉字通常占3字节,但是英文或其他的字符占一字节。因此,在博主的机器上,如下的代码会引发上述的错误:

typedef struct{
        char* name;
        char* address;
        char* auth;
        char* birthday;
}TEST;

int main()
{
        TEST* ptest     = (TEST*)calloc(1 , sizeof(TEST));
        char* address   = "一二三四五六七八九十一二三a";
        char* name      = "测试名";
        char* auth      = "一二三四五六七八九十一二三";
        char* birthday  = "12345678";
        FILE* fp        = NULL;

        fp      = fopen("/home/kylin/testcode/addr.log" , "w");

        fprintf(fp , "sizeof TEST : %zd\nsizeof char* : %zd\nsizeof int : %zd\n" , sizeof(TEST) , sizeof(char*) , sizeof(int));
        ptest->name     = calloc(strlen(name) , sizeof(char));
        ptest->address  = calloc(strlen(address) , sizeof(char));
        ptest->auth     = calloc(strlen(auth) , sizeof(char));
        ptest->birthday = calloc(strlen(birthday) , sizeof(char));

        strcpy(ptest->name , name);
        strcpy(ptest->address , address);
        strcpy(ptest->auth , auth);
        strcpy(ptest->birthday , birthday);
        fprintf(fp , "&ptest : %10p\n&Name : %10p\n&Addr : %10p\n&Auth : %10p\n&Birth : %10p\n" , ptest , ptest->name , ptest->address , ptest->auth , ptest->birthday);
        fprintf(fp , "NameLen : %zd\nAddrLen : %zd\nAuthLen : %zd\nBirthLen : %zd\n" , strlen(ptest->name) , strlen(ptest->address) , strlen(ptest->auth) , strlen(ptest->birthday));
        fprintf(fp , "Name : %s\nAddr : %s\nAuth : %s\nBirth : %s\n" , ptest->name , ptest->address , ptest->auth , ptest->birthday);

        fclose(fp);

        free(ptest->name);
        free(ptest->address);
        free(ptest->auth);
        free(ptest);
        return 0;
}

编译运行后,在free时会报出错误:

*** Error in `./main': free(): invalid next size (fast): 0x0000000001ac52a0 ***
======= Backtrace: =========
/lib/x86_64-linux-gnu/libc.so.6(+0x777e5)[0x7f9183da77e5]
/lib/x86_64-linux-gnu/libc.so.6(+0x7fe0a)[0x7f9183dafe0a]
/lib/x86_64-linux-gnu/libc.so.6(cfree+0x4c)[0x7f9183db398c]
./main[0x400df5]
/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf0)[0x7f9183d50830]
./main[0x4006f9]

该错误仅仅在执行free(ptest->auth)时出现,那么为什么在之前的free不会产生呢?通过多次测试发现,在address的最后的a是引发这个错误的原因,如果删掉这个a,或者多加一个a都不会出错。在测试过程中我将内存分布情况打印出来:

无错误的内存分布图:

关于malloc实际分配内存的探讨_第1张图片

错误的内存分布图:

关于malloc实际分配内存的探讨_第2张图片

由于malloc分配的实际内存大小总是大于我们申请的内存大小,其中有多出来的8个字节用于存放struct mem_control_block,这个结构体通常位于我们申请获得的首地址-8的位置上,用于存放对于该内存块的管理信息。我们注意到,在出错的内存分布中,ptest->auth地址块中,mem_control_block字段中的size(地址为0x220f2c8)值变成了0。那么这个0就应当是address中的结束符了。而其他的内存块中,mem_control_block.size的大小也并非实际我们申请的大小。这是为什么呢?

实际上这是因为堆中的内存块总是成块分配的,并不是申请多少字节,就拿出多少个字节的内存来提供使用。堆中内存块的大小通常与内存对齐有关,在我的机器上,通过测试发现内存块的分配总是按照16字节的大小来进行分配的。比如下面的测试代码:

#define MLEN    25

int main()
{
        char* ptr       = NULL;
        unsigned long lastaddr  = 0;
        int i   = 0;

        while (i < 10)
        {
                ptr     = malloc(sizeof(char) * MLEN);
                printf("%d : %10p , Get Size : %zd\n" , i ++ , ptr , (int)ptr - lastaddr);
                lastaddr        = (int)ptr;
        }

        return 0;
}
当MLEN值为25的时候,输出如下:

关于malloc实际分配内存的探讨_第3张图片

当MLEN的值调整到24的时候,输出如下:

关于malloc实际分配内存的探讨_第4张图片

之所以使用24和25,是因为内存块分配的实际大小是要包括mem_control_block结构体的,将这个结构体的大小(8字节)算进去后,两次申请的大小是32与33,但是实际分配后的大小却是32与48字节。因此可以发现,当:申请大小+sizeof(struct mem_control_block) % 16 == 0的时候,那么刚好可以完成一次满额的分配,但是当其!=0的时候,就会多分配一个内存块,而这个内存块的大小在我的机器上就是16字节。

现在回到最开始的问题,为什么ptest->address会造成越界而其他变量的不会造成越界?原因就在于使用strlen(address)的时候不会将\0计算进长度里面,同时很巧的是strlen(address) + sizeof(mem_control_block) = 48,刚好满足了3块内存块的大小,因此整个字符串刚好填充满所有获得的内存块。在这个情况下,使用strcpy拷贝字符串,在结尾会多出一个未计算长度的结束符,这个结束符将会覆盖掉下一个指针(即ptest->auth)所指向的内存块的mem_control_block中.size的值。这种情况下就在引发了在free(ptest->auth)时由于.size大小的不对而产生的free(): invalid next size (fast)错误。

因此,对于这种内存错误,在strlen的基础上+1就是最高效有用的解决方案了。

你可能感兴趣的:(杂项)