为什么通过原始指针修改可变引用的值不违反Rust的别名规则？

Question

为什么通过原始指针修改可变引用的值不违反Rust的别名规则？

9

我对 Rust 的别名规则并没有非常牢固的理解（而且据我所知，它们并没有得到很好的定义），但我不明白为什么在 std::slice 文档中这个代码示例是正确的。我在此重复这段代码：

let x = &mut [1, 2, 4];
let x_ptr = x.as_mut_ptr();

unsafe {
    for i in 0..x.len() {
        *x_ptr.offset(i as isize) += 2;
    }
}
assert_eq!(x, &[3, 4, 6]);

我在这里看到的问题是，x 是一个 &mut 引用，编译器可以假定它是唯一的。通过 x_ptr 修改了 x 的内容，然后通过 x 读回来，我认为编译器没有理由认为 x 已经被修改，因为它从未通过唯一存在的 &mut 引用进行修改。

那么，我错过了什么？

编译器是否必须假定 *mut T 可能与 &mut T 别名，即使通常可以假定 &mut T 永远不会别名另一个 &mut T？
unsafe 块是否充当某种别名障碍，其中编译器假定其内部的代码可能已修改范围内的任何东西？
这个代码示例有问题吗？

如果有某种稳定的规则使这个示例没问题，那么它是什么？它的范围是什么？我应该担心别名假设会破坏 unsafe Rust 代码中的随机事物吗？

- lcmylin

我认为这是由LLVM处理的，因为x和x_ptr包含相同类型的地址，LLVM必须重新加载x。 - Stargateur

@Stargateur 真的吗？我认为基于类型的别名分析使得LLVM能够更强地假设内存中相同类型对象的不相交性。 - lcmylin

1

@Mylin：从记忆来看，TBAA是选择加入的（前端需要发出特定属性），而rustc则不是选择加入。相反，它使用每个变量的注释。 - Matthieu M.

实际上，Rust不会根据指针类型进行任何推理（除了检查内部可变性）。因此，@Stargateur所写的对于Rust来说是不正确的。 - Ralf Jung

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Matthieu M. · Accepted Answer

免责声明：目前还没有正式的内存模型。¹

首先，我想解决以下问题：

我在这里看到的问题是，编译器可以假定 x 是唯一的 &mut 引用。

是的...也不是。只有当 x 没有被借用时，才能假定它是唯一的，这是一个重要的区别：

fn doit(x: &mut T) {
    let y = &mut *x;
    //  x is re-borrowed at this point.
}

因此，目前我会假设从x派生指针在某种意义上暂时“借用”了x。

当然，在没有正式模型的情况下，这一切都是含糊不清的。这也是为什么rustc编译器还不会过于积极地进行别名优化的部分原因：在定义正式模型并检查代码是否符合它之前，优化必须保守。

RustBelt项目旨在为Rust建立一个经过正式证明的内存模型。Ralf Jung的最新消息是关于Stacked Borrows model的。

来自 Ralf（评论）：以上示例的关键点在于存在清晰的从 x 到 x_ptr，再回到 x 的转移。因此，x_ptr 在某种意义上是一个作用域借用。如果使用顺序为 x、x_ptr、再回到 x 和再回到 x_ptr，则后者将会是未定义行为：

fn main() {
    let x = &mut [1, 2, 4];
    let x_ptr = x.as_mut_ptr(); // x_ptr borrows the right to mutate

    unsafe {
        for i in 0..x.len() {
            *x_ptr.offset(i as isize) += 2; // Fine use of raw pointer.
        }
    }
    assert_eq!(x, &[3, 4, 6]);  // x is back in charge, x_ptr invalidated.

    unsafe { *x_ptr += 1; }     // BÄM! Used no-longer-valid raw pointer.
}