为什么调用两次时Free会崩溃？

您不能在未分配的内存上调用free，标准已经非常明确地说明了这一点(略有改动，重点是我的强调):

free函数使其参数指向的空间被释放，即可供进一步分配使用。如果参数是空指针，则不会发生任何操作。否则，如果参数与之前由内存管理函数返回的指针不匹配，或者如果该空间已被free或realloc调用释放，则行为是未定义的。

例如，如果您双倍释放的地址已在新块中重新分配，而分配它的代码刚好将某些东西存储在那里，看起来像是真正的malloc块头，会发生什么情况呢？像这样：

 +- New pointer    +- Old pointer
 v                 v
+------------------------------------+
|                  <Dodgy bit>       |
+------------------------------------+

混乱，就是这样。
内存分配函数就像电锯一样是一种工具，只要使用正确，你就不会遇到问题。但如果滥用它们，后果就是你自己的错，可能会损坏内存或更糟糕的情况，甚至可能割掉你的手臂 :-)
关于评论：
“...它可以向最终用户优雅地传达有关在相同位置双倍释放的信息。”
除了记录所有malloc和free调用以确保您不会重复释放块之外，我看不出这是可行的。这将需要巨大的开销，仍然无法解决所有问题。
如果发生以下情况会怎样：
1.线程A在地址42处分配并释放内存。 2.线程B在地址42处分配内存并开始使用它。 3.线程A第二次释放该内存。 4.线程C在地址42处分配内存并开始使用它。
那么，您现在有线程B和C都认为它们拥有该内存（这些不必是执行线程，我在这里使用线程一词只是一个运行的代码片段 - 它可以全部在一个执行线程中被顺序调用）。
不，我认为当前的malloc和free只要正确使用就很好。请考虑实现自己的版本，我认为这没有任何问题，但我怀疑您会遇到一些非常棘手的性能问题。
如果您确实想要在free周围实现自己的包装器，您可以使其更安全（以稍微降低性能为代价），具体请参见下面的myFreeXxx调用：

#include <stdio.h>
#include <stdlib.h>

void myFreeVoid (void **p) { free (*p); *p = NULL; }
void myFreeInt  (int  **p) { free (*p); *p = NULL; }
void myFreeChar (char **p) { free (*p); *p = NULL; }

int main (void) {
    char *x = malloc (1000);
    printf ("Before: %p\n", x);
    myFreeChar (&x);
    printf ("After:  %p\n", x);
    return 0;
}

代码的要点是你可以使用指向指针的指针来调用 myFreeXxx 函数，它会同时：

• 释放内存；并且
• 将指针设置为 NULL。

后面那部分的意思是，如果你尝试再次释放该指针，它将不起作用（因为标准明确规定了释放 NULL）。
它不能保护你免受所有情况的影响，例如，如果你在其他地方复制了该指针，释放原始指针，然后释放副本：

char *newptr = oldptr;
myFreeChar (&oldptr);     // frees and sets to NULL.
myFreeChar (&newptr);     // double-free because it wasn't set to NULL.

---

如果您使用的是C11，现在有一种比显式调用不同函数更好的方式，因为C具有编译时函数重载。您可以使用通用选择来调用正确的函数，同时仍然允许类型安全：

#include <stdio.h>
#include <stdlib.h>

void myFreeVoid (void **p) { free (*p); *p = NULL; }
void myFreeInt  (int  **p) { free (*p); *p = NULL; }
void myFreeChar (char **p) { free (*p); *p = NULL; }
#define myFree(x) _Generic((x), \
    int** :  myFreeInt,  \
    char**:  myFreeChar, \
    default: myFreeVoid  )(x)

int main (void) {
    char *x = malloc (1000);
    printf ("Before: %p\n", x);
    myFree (&x);
    printf ("After:  %p\n", x);
    return 0;
}

因此，您只需调用myFree，它将根据类型选择正确的函数。

你可能误解了它的行为。如果它立即崩溃，那么它的实现方式是安全的。我可以证明，很久以前 free() 的这种行为并不常见。当时典型的 CRT 实现根本没有进行任何检查。它会快速而猛烈地破坏堆的内部结构，混乱分配链。

程序在堆损坏后很久才会出现问题或崩溃，而没有任何诊断信息，导致它的错误行为难以理解。造成崩溃的代码实际上并不负责崩溃，这是一种难以排查的 Heisenbug。

现代CRT或操作系统堆的实现通常不再存在这种情况。这种未定义行为非常容易被恶意软件利用。同时，它也使你的生活变得更加轻松愉快，你能够快速地找到代码中的 bug。在过去的几年里，它让我远离麻烦，我已经很长时间没有调试无法跟踪的堆破坏了，这真是件好事。

很好的问题。正如您所指出的，malloc和free通常会在分配之前几个字节中进行某种形式的记帐。但可以这样想：

1. 分配一些内存--添加记帐数据。
2. 释放它--将内存返回到池中。
3. 您或其他人分配了更多的内存，可能包括或与旧分配对齐。
4. 您再次释放旧指针。

此时堆（用于管理malloc和free的代码）已经失去了跟踪和/或覆盖记账数据的能力，因为内存已经返回到堆！
因此会出现程序崩溃的情况。提供这一点的唯一方法是在某个地方记住每次分配的所有内容，但这样会导致数据库不断增加。所以他们不这样做。相反，只需记住不要重复释放相同的内存即可 :)。

为什么第二次free()没有找到任何分配大小时不进行第二次检查？ 在所有正确的情况下，free()函数本身中的额外检查会使您的程序变慢。 您不应该执行双重释放。 管理内存是作为程序员的责任； 不这样做会是编程错误。 这是C语言哲学的一部分：它给你所需的所有力量，但作为一个结果，容易自己犯错。
许多C运行时将在其调试版本中进行一些检查，因此，如果您做错了什么，您将收到合理的通知。

你说：

不明白为什么。每个malloc()都有记账，包括大小。

不一定。我来简单解释一下dlmalloc（用于glibc、uClibc等）。

dlmalloc跟踪空闲空间块。不能有两个相邻的空闲块，它们会立即合并。分配的块根本没有被跟踪！分配的块有一些备用空间用于记账信息（此块的大小、前一个块的大小和一些标志）。当分配的块被free()时，dlmalloc将其插入双向链表中。

当然，所有这些都可以在this dlmalloc article中更好地解释。