栈是一种十分常见的数据结构,在各方面被广泛应用,在编译代码时,编译器会从内存栈中为变量开辟空间,例如:
#include <stdio.h>
int main()
{
int a=11;
int b=12;
return 0;
}
这段代码表示:声明了两个interesting类型的变量a和b,并且将它们初始化成11和12。编译过程中,编译器将在栈空间中先后开辟两块大小为4个字节的空间,并分别将11和12写入这两块内存中,从其产生的汇编文件中就可以看出(from gcc):
.file "main.cpp"
.def ___main; .scl 2; .type 32; .endef
.text
.globl _main
.def _main; .scl 2; .type 32; .endef
_main:
LFB12:
.cfi_startproc
pushl %ebp
.cfi_def_cfa_offset 8
.cfi_offset 5, -8
movl %esp, %ebp
.cfi_def_cfa_register 5
andl $-16, %esp
subl $16, %esp
call ___main
movl $11, 12(%esp)
movl $12, 8(%esp)
movl $0, %eax
leave
.cfi_restore 5
.cfi_def_cfa 4, 4
ret
.cfi_endproc
LFE12:
.ident "GCC: (MinGW.org GCC-6.3.0-1) 6.3.0"
其中这段代码简明扼要得体现出编译器得动作:将“11”赋值给“esp+12”的地址所表示的内存块中,再将“12”赋值给“esp+8”地址所表示的内存块中。其中寄存器esp保存的是栈指针的值。
movl $11, 12(%esp)
movl $12, 8(%esp)
movl $0, %eax
可以看出“a”的地址为“esp+12”,“b”的地址为“esp+8”,显然,“a”的地址大于“c”的地址,在分配内存的过程中,地址是向下增长的,显然这让人十分的不适,但是栈的地址排列就是如此的出人意料:
也就是说在内存分配过程中,栈本身的地址是从大到小的,分配栈内存空间时也是从大到小,也就是说可能分配给第一个变量的内存是0x000000f4,而下一个变量分配的内存地址可能就是0x000000f0了。
栈的这种“奇怪”的地址排列,在以下这个边界溢出问题中得到充分体现:
#include <stdio.h>
int main()
{
int i;
int arr[10] = {1,2,3,4,5,6,7,8,9,10};
for(i = 0;i<=10;i++)
{
if (i == 10) arr[i] = 0;
printf("%d ",arr[i]);
}
return 0;
}
在gcc环境下,编译运行的结果是个死循环;
出现这种情况的原因十分简单。
首先,arr的长度为10,第一个元素为arr[0],最后一个元素为arr[9],但在循环中,出现了arr[10],对于我们来说这是不合理的,但在程序中却可以执行下去:
如图,因为栈空间的地址排列为从大到小,而数组元素地址排列却是由小到大,所谓的arr[10]指向了变量i的地址空间,那么将arr[10]赋值为0的操作实际上是对i进行了赋零,导致程序的死循环。
通过打印相应的地址也可以看到这样的地址排列
#include <stdio.h>
int main()
{
int i;
int arr[10] = {1,2,3,4,5,6,7,8,9,10};
for(i = 0;i<=10;i++)
{
//if (i == 10) arr[i] = 0;
printf("arr[%d]: %x\n",i,&arr[i]);
}
printf("i :%x",&i);
return 0;
}
arr[0]: 61ff04
arr[1]: 61ff08
arr[2]: 61ff0c
arr[3]: 61ff10
arr[4]: 61ff14
arr[5]: 61ff18
arr[6]: 61ff1c
arr[7]: 61ff20
arr[8]: 61ff24
arr[9]: 61ff28
arr[10]: 61ff2c
i :61ff2c