1

我有一个通过 C FFI(通过 winapi-rs)利用 Windows API 的程序。其中一个函数需要一个指向字符串的指针作为输出参数。该函数会将其结果存储到此字符串中。我正在WideCString为这个字符串使用一个类型的变量。

我可以“只是”将一个可变引用传递给一个字符串引用到这个函数(在一个不安全的块内),还是我应该使用类似的功能.into_raw(),并且.from_raw()也将变量的所有权转移到 C 函数?

两个版本都可以编译和工作,但我想知道我是否以直接方式购买了任何缺点。

这是我的代码中使用.into_rawand的相关行.from_raw

let mut widestr: WideCString = WideCString::from_str("test").unwrap(); //this is the string where the result should be stored
let mut security_descriptor_ptr: winnt::LPWSTR = widestr.into_raw();

let rtrn3 = unsafe {
    advapi32::ConvertSecurityDescriptorToStringSecurityDescriptorW(sd_buffer.as_mut_ptr() as *mut std::os::raw::c_void,
                                    1, 
                                    winnt::DACL_SECURITY_INFORMATION,
                                    &mut security_descriptor_ptr,
                                        ptr::null_mut())

};

if rtrn3 == 0 {
    match IOError::last_os_error().raw_os_error() {
        Some(1008) => println!("Need to fix this errror in get_acl_of_file."), // Do nothing. No idea, why this error occurs
        Some(e) => panic!("Unknown OS error in get_acl_of_file {}", e),
        None => panic!("That should not happen in get_acl_of_file!"),
    }
}

let mut rtr: WideCString = unsafe{WideCString::from_raw(security_descriptor_ptr)};

MSDN中对这个参数的描述说:

指向变量的指针,该变量接收指向以null 结尾的安全描述符字符串的指针。有关字符串格式的说明,请参阅安全描述符字符串格式。要释放返回的缓冲区,请调用LocalFree函数。

我期待函数改变变量的值。这不是 - 根据定义 - 意味着我正在转移所有权吗?

4

1 回答 1

5

我期待函数改变变量的值。这不是 - 根据定义 - 意味着我正在转移所有权吗?

不。考虑所有权的一个关键方法是:当你完成价值时,谁负责破坏价值。

有能力的 C API(微软通常属于这一类)记录了预期的所有权规则,尽管有时这些词是间接的或假设某种程度的外部知识。这个特定的功能说:

要释放返回的缓冲区,请调用LocalFree函数。

这意味着ConvertSecurityDescriptorToStringSecurityDescriptorW将执行某种分配并将其返回给用户。查看函数声明,您还可以看到他们将该参数记录为“out”参数:

_Out_ LPTSTR               *StringSecurityDescriptor,

为什么这样做?因为调用者不知道要分配多少内存来存储字符串1

通常,您会将未初始化内存的引用传递给函数,然后该函数必须为您初始化它。

这可以编译,但是您没有提供足够的上下文来实际调用它,所以谁知道它是否有效:

extern crate advapi32;
extern crate winapi;
extern crate widestring;

use std::{mem, ptr, io};
use winapi::{winnt, PSECURITY_DESCRIPTOR};
use widestring::WideCString;

fn foo(sd_buffer: PSECURITY_DESCRIPTOR) -> WideCString {
    let mut security_descriptor = unsafe { mem::uninitialized() };

    let retval = unsafe {
        advapi32::ConvertSecurityDescriptorToStringSecurityDescriptorW(
            sd_buffer,
            1,
            winnt::DACL_SECURITY_INFORMATION,
            &mut security_descriptor,
            ptr::null_mut()
        )
    };

    if retval == 0 {
        match io::Error::last_os_error().raw_os_error() {
            Some(1008) => println!("Need to fix this errror in get_acl_of_file."), // Do nothing. No idea, why this error occurs
            Some(e) => panic!("Unknown OS error in get_acl_of_file {}", e),
            None => panic!("That should not happen in get_acl_of_file!"),
        }
    }

    unsafe { WideCString::from_raw(security_descriptor) }
}

fn main() {
    let x = foo(ptr::null_mut());
    println!("{:?}", x);
}

[dependencies]
winapi = { git = "https://github.com/nils-tekampe/winapi-rs/", rev = "1bb62e2c22d0f5833cfa9eec1db2c9cfc2a4a303" }
advapi32-sys = { git = "https://github.com/nils-tekampe/winapi-rs/", rev = "1bb62e2c22d0f5833cfa9eec1db2c9cfc2a4a303" }
widestring = "*"

直接回答你的问题:

我可以“只是”将一个可变引用传递给一个字符串引用到这个函数(在一个不安全的块内)还是应该使用像 .into_raw() 和 .from_raw() 这样的功能,它也移动了变量的所有权到 C 函数?

两者都不。该函数不希望您将指针传递给string,它希望您将指针传递给可以放置字符串的位置。

在您的解释之后,我也刚刚意识到(据我所知)在我的示例中,widestr 变量永远不会被 C 函数覆盖。它会覆盖对它的引用,但不会覆盖数据本身。

分配的内存很可能WideCString::from_str("test")完全泄漏,因为在函数调用之后没有任何东西引用该指针。

这是 C (WinAPI) 函数将始终自行分配缓冲区的一般规则(如果不遵循首先返回大小的两步方法)?

我不相信C API 之间甚至 C API内部没有任何通用规则。尤其是在像微软这样拥有如此多 API 的公司。您需要阅读每种方法的文档。这是持续拖累的一部分,它可以让编写 C 语言感觉像是一个艰难的过程。

将未初始化的内存交给这样的函数对我来说有点奇怪。

是的,因为不能保证函数初始化它。事实上,在失败的情况下初始化它会很浪费,所以它可能不会。这是 Rust 似乎有更好解决方案的另一件事。

请注意,println!在调用类似last_os_error;之前,您不应该进行函数调用(例如 )。那些函数调用可能会改变最后一个错误的值!

1其他 Windows API 实际上需要一个多步骤过程 - 您使用 调用该函数NULL,它返回您需要分配的字节数,然后您再次调用它

于 2016-09-16T16:12:31.913 回答