深入理解 Rust 裸指针：内存操作的双刃剑

文章目录

• [深入理解 Rust 裸指针：内存操作的双刃剑](#深入理解 Rust 裸指针：内存操作的双刃剑)
• • 什么是裸指针？
  • 裸指针的创建
  • • 方式一：从引用转换（最常用）
    • 方式二：从内存地址创建
    • 方式三：创建空指针
    • 方式四：从智能指针转换
  • 裸指针的操作
  • • 裸指针的解引用
    • 裸指针的运算
  • 开发应用场景
  • • [FFI 交互](#FFI 交互)
    • 自定义智能指针
    • 性能敏感场景的优化
  • 裸指针的安全契约与最佳实践
  • • 必须遵守的安全契约
    • 最佳实践
  • 总结

深入理解 Rust 裸指针：内存操作的双刃剑

Rust 凭借严格的所有权规则和借用检查器，从根源上规避了空指针、悬垂引用、数据竞争等常见内存问题。但在实际开发中，我们总会遇到需要突破安全边界的场景，比如与 C 语言交互、手动管理内存、操作硬件资源，或是追求极致的性能优化。此时，就需要用到 Rust 提供的裸指针（Raw Pointer）了。

什么是裸指针？

裸指针，本质上是直接指向内存地址的原始指针，它仅包含内存地址信息，不携带任何生命周期、所有权或借用规则的约束，与 C 语言中的指针极为相似。Rust 提供了两种裸指针类型，分别对应"不可变"和"可变"两种语义，二者均属于原生类型，可直接使用且无需引入额外模块：

• const T ：不可变裸指针。指向类型为 T 的内存地址，仅允许读取该地址上的数据，不允许修改。需要注意的是，这里的"不可变"仅针对指针指向的数据，指针本身可以被赋值、移动，与 Rust 中的不可变引用（&T）并非完全等同。
• *mut T：可变裸指针。指向类型为 T 的内存地址，既允许读取数据，也允许修改数据，指针本身同样可以被赋值、移动。

裸指针可以为空、可以悬垂、可以同时指向同一块内存（打破借用规则），但这些特性也意味着，任何对裸指针的操作都可能引发未定义行为（Undefined Behavior, UB），因此 Rust 要求所有裸指针的操作必须包裹在 unsafe 块中。

这里需要明确的是 unsafe 关键字并非"不安全"的许可，而是告诉编译器"开发者已确认这段代码的安全性"，并将内存安全的责任转移给开发者，而非编译器兜底。

裸指针的创建

裸指针的创建有多种方式，最常见的是从 Rust 引用或智能指针转换而来，也可以直接从内存地址创建或创建空指针。

方式一：从引用转换（最常用）

通过 as 关键字，可以将安全的引用（&T/&mut T）转换为对应的裸指针，这种方式是最安全的创建方式，因为引用本身由编译器保证有效。

fn main() {
    // 不可变引用转换为 *const T
    let x = 10;
    let ptr_const = &x as *const i32;
    
    // 可变引用转换为 *mut T
    let mut y = 20;
    let ptr_mut  = &mut y as *mut i32;
    
    // 也可以隐式转换（不推荐，显式转换更易提醒开发者注意裸指针的使用）
    let ptr_const_implicit = &x;
}

方式二：从内存地址创建

直接将一个内存地址（以 usize 类型表示）转换为裸指针，这种方式风险极高，需要开发者确保该地址指向有效、对齐的内存，否则会引发未定义行为。

fn main() {
    // 假设 0x12345678 是一个有效的 i32 内存地址（实际开发中切勿随意使用）
    let addr: usize = 0x12345678;
    let ptr = addr as *const i32;
}

方式三：创建空指针

使用 std::ptr::null() 和 std::ptr::null_mut() 可以创建空指针，分别对应 *const T 和 *mut T 类型。空指针本身是合法的，但解引用空指针会引发未定义行为，因此使用前需通过 is_null() 方法检查。

use std::ptr;

fn main() {
    // 空的不可变裸指针
    let null_const: *const i32 = ptr::null();
    assert!(null_const.is_null());

    // 空的可变裸指针
    let null_mut: *mut i32 = ptr::null_mut();
    assert!(null_mut.is_null());
}

方式四：从智能指针转换

对于 Box、Rc 等智能指针，可以通过 into_raw() 方法将其转换为裸指针，转换后智能指针将不再管理内存，开发者需要手动负责内存的释放，否则会导致内存泄漏。

fn main() {
    // Box 转换为裸指针
    let boxed = Box::new(30);
    let ptr: *mut i32 = Box::into_raw(boxed);

    // 注意：转换后需手动释放内存
    unsafe {
        drop(Box::from_raw(ptr));
    }
}

裸指针的操作

裸指针的解引用

解引用是裸指针最核心的操作，即通过指针访问其指向的内存数据。由于裸指针不保证指向有效内存，解引用操作必须包裹在 unsafe 块中，且开发者必须确保指针满足三个条件：指向有效内存、内存对齐、未被释放。

fn main() {
    let x = 10;
    let ptr_const = &x as *const i32;
    
    // 解引用不可变裸指针（读取数据）
    unsafe {
        println!("解引用不可变裸指针：{}", *ptr_const); // 输出：10
    }
    
    let mut y = 20;
    let ptr_mut = &mut y as *mut i32;
    
    // 解引用可变裸指针（修改数据）
    unsafe {
        *ptr_mut = 200;
        println!("修改后的数据：{}", *ptr_mut); // 输出：200
    }
    
    // 错误示例：解引用空指针（会引发未定义行为）
    let null_ptr = std::ptr::null_mut::<i32>();
    unsafe {
        // *null_ptr = 100;
    }
}

裸指针的运算

裸指针支持偏移（offset）、加减等算术运算，常用于连续内存块（如数组）的访问。需要注意的是，指针运算必须确保结果指向有效内存，否则会导致内存越界，引发未定义行为。Rust 提供了 offset() 和 add() 方法用于指针偏移，二者功能一致，add() 更易读。

fn main() {
    let arr = [10, 20, 30, 40];
    let ptr = arr.as_ptr(); // 数组首元素的指针
    
    unsafe {
        // 偏移 1 个位置（指向第二个元素）
        let ptr2 = ptr.add(1);
        println!("偏移后的值：{}", *ptr2); // 输出：20
        
        // 偏移 3 个位置（指向第四个元素）
        let ptr4 = ptr.offset(3);
        println!("偏移后的值：{}", *ptr4); // 输出：40
        
        // 计算两个指针之间的距离
        let start = arr.as_ptr();
        let end = start.add(4);
        println!("指针距离：{}", end.offset_from(start)); // 输出：4
    }
}

开发应用场景

裸指针的"危险性"决定了它不能作为日常开发的首选，但在某些特定场景下，它是不可替代的，如以下这些场景。

FFI 交互

FFI（Foreign Function Interface）是不同编程语言之间交互的接口，Rust 与 C/C++ 交互时，由于 C 语言不理解 Rust 的引用和智能指针，只能通过裸指针传递数据。此时，裸指针成为了 Rust 与外部语言沟通的"桥梁"。

调用 C 函数时，需要将 Rust 的引用转换为裸指针传递给 C；反之，C 函数返回的指针也需要以裸指针的形式在 Rust 中处理，且必须由开发者保证指针的有效性。

// 声明要调用的 C 函数
extern "C" {
    fn c_abs(input: i32) -> i32; // C 标准库的绝对值函数
    fn c_modify(ptr: *mut i32, value: i32); // 接收裸指针并修改数据
}

fn main() {
    // 调用 C 函数 c_abs（无需传递指针，直接传递基础类型）
    unsafe {
        let result = c_abs(-3);
        println!("C 函数计算绝对值：{}", result); // 输出：3
    }
    
    // 调用 C 函数 c_modify（传递可变裸指针）
    let mut num = 10;
    let ptr = &mut num as *mut i32;
    unsafe {
        c_modify(ptr, 100);
        println!("C 函数修改后的值：{}", num); // 输出：100
    }
}

注意：上面的示例只声明了要调用的 C 函数，并没有进行代码实现与编译链接，这里只是展示 Rust 侧的代码，后续完整的、可运行的示例将会在专门讲 FFI 的文章中实现。

自定义智能指针

虽然裸指针本身不安全，但它是构建安全抽象的基石。Rust 标准库中的智能指针（如 Box、Vec），其底层本质上就是用裸指针实现的，通过封装裸指针的不安全操作，对外提供安全的 API。

例如，我们可以自定义一个简单的动态数组，使用裸指针管理堆内存，通过严格的逻辑保证内存安全，对外暴露安全的方法。

use std::{
    alloc::{Layout, alloc, dealloc},
    ptr,
};

// 自定义动态数组（底层使用裸指针）
struct RawVec<T> {
    ptr: *mut T,     // 指向堆内存的裸指针
    capacity: usize, // 容量
    len: usize,      // 当前长度
}

impl<T> RawVec<T> {
    // 创建一个空的 RawVec
    fn new() -> Self {
        RawVec {
            ptr: ptr::null_mut(),
            capacity: 0,
            len: 0,
        }
    }

    // 向 RawVec 中添加元素
    fn push(&mut self, value: T) {
        if self.len == self.capacity {
            // 容量不足，扩容，这里简化逻辑，实际需要处理内存分配失败的情况
            let new_capacity = if self.capacity == 0 {
                4
            } else {
                self.capacity * 2
            };
            let new_layout = Layout::array::<T>(new_capacity).unwrap();
            let new_ptr = unsafe { alloc(new_layout) as *mut T };

            // 将旧内存的数据复制到新内存
            if !self.ptr.is_null() {
                let old_layout = Layout::array::<T>(self.capacity).unwrap();
                unsafe {
                    ptr::copy_nonoverlapping(self.ptr, new_ptr, self.len);
                    dealloc(self.ptr as *mut u8, old_layout);
                }
            }

            self.ptr = new_ptr;
            self.capacity = new_capacity;
        }

        // 写入新元素，不安全操作
        unsafe {
            ptr::write(self.ptr.add(self.len), value);
        }
        self.len += 1;
    }

    // 读取指定索引的元素
    fn get(&self, index: usize) -> Option<&T> {
        if index < self.len {
            unsafe { Some(&*self.ptr.add(index)) }
        } else {
            None
        }
    }
}

// 实现 Drop 特性，手动释放内存，避免内存泄漏
impl<T> Drop for RawVec<T> {
    fn drop(&mut self) {
        if !self.ptr.is_null() {
            // 销毁所有元素
            for i in 0..self.len {
                unsafe {
                    ptr::drop_in_place(self.ptr.add(i));
                }
            }
            // 释放堆内存
            let layout = Layout::array::<T>(self.capacity).unwrap();
            unsafe {
                dealloc(self.ptr as *mut u8, layout);
            }
        }
    }
}

fn main() {
    let mut vec = RawVec::new();
    vec.push(10);
    vec.push(20);
    vec.push(30);

    println!("元素 0：{}", vec.get(0).unwrap()); // 输出：10
    println!("元素 1：{}", vec.get(1).unwrap()); // 输出：20
    println!("元素 2：{}", vec.get(2).unwrap()); // 输出：30
}

性能敏感场景的优化

在高频调用的底层函数或性能敏感场景中，裸指针可以避免安全 Rust 中引用检查的额外开销，实现更高效的内存访问。例如，在处理大规模数组的遍历和修改时，使用裸指针可以减少借用检查的开销，但必须严格保证指针的有效性和内存安全。

需要注意的是，安全 Rust 中的引用和切片操作已被编译器高度优化，与裸指针的性能差异极小，盲目使用裸指针追求性能往往得不偿失，甚至会引入安全漏洞。

裸指针的安全契约与最佳实践

必须遵守的安全契约

• 解引用前，必须确保指针指向有效、对齐且未被释放的内存；
• 避免悬垂指针：指针指向的内存被释放后，不可再解引用或传递该指针；
• 遵守别名规则：可变裸指针（*mut T）活跃时，不可存在其他指向同一内存的指针或引用；
• 类型安全：不可随意将裸指针转换为不兼容的类型（如将 *const i32 转换为 *const String），除非能保证类型布局一致；
• 线程安全：多线程环境中使用裸指针时，需通过互斥锁（Mutex）或原子类型保证线程安全，避免数据竞争。

最佳实践

• 最小化 unsafe 范围 ：将裸指针的操作限制在最小的 unsafe 块中，避免将整个函数声明为 unsafe，减少安全风险的扩散范围。
• 添加详细注释 ：对 unsafe 块、裸指针的操作添加注释，说明为什么需要使用裸指针、安全契约是什么、调用者需要注意哪些事项，便于代码审计和后续维护。
• 充分测试与审计：裸指针是 bug 高发区，需针对性编写测试用例，如边界值测试、线程安全测试等，必要时进行代码审计，确保符合安全契约。
• 优先使用安全替代方案 ：尽量避免手动编写 unsafe 代码，优先使用标准库或成熟库提供的安全 API。
• 使用调试工具 ：通过 println!("Pointer address: {:p}", ptr) 打印指针地址，辅助调试裸指针的操作；使用内存屏障（std::sync::atomic::fence）保证多线程环境下指针操作的内存顺序。

总结

Rust 裸指针是一把双刃剑，它赋予了开发者底层内存操作的自由，让 Rust 能够应对 FFI 交互、自定义智能指针等安全 Rust 无法覆盖的场景，同时也将内存安全的责任完全转移给了开发者。

最后需要强调：裸指针不是"银弹"，日常开发中应优先使用引用和智能指针，只有在确实需要突破安全边界时，才考虑使用裸指针。