高度注意并警惕 placement new [] 的陷阱

前几天在检一个服务器容器的时候，发现一个严重的问题，问题大概如下：

 

假设我们有这样一个类：

#pragma pack(push, 1) class FFntTexXX { DWORD nTexID; BYTE nSprSize; //std::vector< int > tk; public: FFntTexXX() :nTexID(9) ,nSprSize(4) {} }; #pragma pack(pop)

 

和假设如下的代码：

FFntTexXX* p = ::new FFntTexXX[7]; // 假设的内存池能存放7个对象 FFntTexXX* pk = ::new (p) FFntTexXX[4]; // 调用4个对象的构造函数

 

按照MSDN上面说明，我们可以认为p和pk所处的地址是相同的，仍而，
如果我们把类中的tk成员注掉，执行上面两句结果是p和pk地址相等。
但我们把类中的tk成员打开，再执行，p和pk地址却不相等。
经调试发现，中间差了4字节，里面存放的刚好就是数组的数量，即4。

 

我问了两个群的编程兄弟，他们都很热情，我很感谢，不过问题说得不是很清楚，但我更喜欢查根问底。
虽然我知道怎么解决这个BUG，让程序正常起来，但我还是硬着查清楚原因。

 

在解释原因之前我们先将结构改一下（去掉tk，增加析构函数）：

#pragma pack(push, 1) class FFntTexXX { DWORD nTexID; BYTE nSprSize; //std::vector< int > tk; public: FFntTexXX() :nTexID(9) ,nSprSize(4) {} ~FFntTexXX() {} }; #pragma pack(pop)

 

好了，这个时候再来以有析构和没有析构函数的方法测试：
当有析构的时候p和pk地址不同，当没有析构的时候p和pk相同。

 

是什么原因造成这一现象的呢？
有没有析构又怎么会造成这一结果的呢？
类析构和std::vector< int > tk有什么联呢？
下面依次解释：

 

虽然FFntTexXX是一个类，但其成员没有一个成员有析构函数，所以编译器认为此类可以退化到结构。
（当类中有任意一个成员需要析构，如std::vector tk成员，编译器为自动为类FFntTexXX生成析构）
或许你又要问了，为什么生成析构与不生成析构和p、pk有什么关系呢？
确实是的，起初我也一直认识这个不存在任何关系的，但编过汇编发现，原因正是因为析构。

 

先看 ::new [] 函数代码（无析构）：

004010A6 mov eax,dword ptr [ebp-14h] // 将p的地址入参 004010A9 push eax 004010AA push 14h // 将所需内存入参（sizeof(FFntTexXX)*5=0x14=20） 004010AC call operator new[] (401240h) // 调用 placement new[]

 

再看 ::new [] 函数代码（有析构）：

004010BD mov eax,dword ptr [ebp-14h] // 将p的地址入参 004010C0 push eax 004010C1 push 18h // 将所需内存入参（sizeof(FFntTexXX)*5+sizeof(int)=0x14+0x04=0x18=24） 004010C3 call operator new[] (401290h) // 调用 placement new[]

 

这里可能你也已经发现了，当有析构的时候new[]会要求多传入一个机器字长数据，当然目的就是为了保存数组的个数，
而没有析构的时候却不需要保存数组的个数。

 

接下来再看 constructor iterator 函数（无析构）：

004010C8 je wWinMain+0EDh (4010EDh) //如果new[]失败跳过 004010CA push offset FFntTexXX::FFntTexXX (401440h) // 入参构函数地址 004010CF push 4 // 入参构造个数 004010D1 push 5 // 入参类尺寸 004010D3 mov ecx,dword ptr [ebp-120h] 004010D9 push ecx // 入参p的地址 004010DA call `vector constructor iterator' (401480h) // 循环调用FFntTexXX构造函数

 

然后看 constructor iterator 函数（有析构）：

004010DF je wWinMain+11Bh (40111Bh) // 如果new[]失败跳过 004010E1 mov ecx,dword ptr [ebp-12Ch] // 将p所指的内容变为4，即4个成员 004010E7 mov dword ptr [ecx],4 004010ED push offset FFntTexXX::~FFntTexXX (4014D0h) // 入参析构函数 004010F2 push offset FFntTexXX::FFntTexXX (401490h) // 入参构造函数 004010F7 push 4 // 入参构造个数 004010F9 push 5 // 入参类尺寸 004010FB mov edx,dword ptr [ebp-12Ch] // 将p的地址传给edx 00401101 add edx,4 00401104 push edx // 到这里，dex内容为(p+1)或者说是((char*)p+4)的位置了 00401105 call `eh vector constructor iterator' (4358E0h)

 

初看这好像没有什么特别的，但细看才发现，两个数组构造器函数不一样，无析构的只有4个参数，而有析构的有5个参数。

“vector constructor iterator”和“eh vector constructor iterator”。
这时才恍然大悟，原因编译器做的事情不少。

 

总结：
因为没有析构函数的对象，在delete[]的时候，它可以直接从内存拿掉而不用调析构函数。
所以这里不用记录这个数组有多少个元素，也就不出现偏4个字节。
当有析构函数的时候，编译器为了记住有多少个对象，以便于在delete[]的时候要对其调用析构函数，
所以在数组首地址前面一个机器字长来保存数组长度，数组总尺寸增加一个机器的字长。
因此调用new[]的时候，有析构和无析构的时候，所需要的内存不一样。

 

解决方案：
使用 placement new[] 对给定地址进行数组构造的时候（placement new不存在此问题），
一定记住要多分配一个机器字长，用sizeof(int)即可得到所需字节数。
真正的数组地址应该取 placement new[] 返回的地址，而不是取 placement new(p) [] 中p的地址。