MISRA C:2012 Rule 18.6

The address of an object with automatic or thread-local storage shall not be copied to another object that persists after the first object has ceased to exist

全页展开

描述

规则定义

The address of an object with automatic or thread-local storage shall not be copied to another object that persists after the first object has ceased to exist ¹ .

理由

当对象的生命周期到期时，该对象的地址将变得不确定。使用不确定的地址会导致未定义行为。

Polyspace 实现

当指向局部变量的指针离开该变量的作用域时，Polyspace^® 会报告违反此规则。例如：

函数返回一个指向局部变量的指针。
函数执行赋值 globPtr = &locVar。globPtr 是全局指针变量，locVar 是局部变量。
函数执行赋值 *paramPtr = &locVar。paramPtr 是函数参数，例如 int** 指针，locVar 是局部变量 int。

Polyspace 将此规则应用于使用 alloca 函数分配的内存，并忽略静态局部变量。Polyspace 假定函数定义中的局部对象位于同一范围内。

故障排除

如果您预期会出现违规，但未看到该违规，请参阅诊断为何编码规范违规未按预期显示。

示例

全部展开

从函数返回的指向局部变量的指针


void func2(int *ptr) {
    *ptr = 0;
}

int* func1(void) {
    int ret = 0; //Noncompliant
    return &ret ;
}
void main(void) {
    int* ptr = func1() ;
    func2(ptr) ;
}

在此示例中，func1 返回指向局部变量 ret 的指针。

在 main 中，ptr 指向本地变量的地址。当在 func2 中访问 ptr 时，该访问是非法的，因为 ret 的作用域仅限于 func1。

局部变量的地址

char *func(void) {
	char local_auto; /* Noncompliant*/
	return &local_auto ;  /* &local_auto is indeterminate*/
}

在此示例中，由于 local_auto 是局部变量，因此函数返回后，local_auto 的地址不确定。Polyspace 报告了违规。

将静态指针地址复制到局部变量


void h(void){
    static unsigned short *q;
    
    unsigned short x =0u; //Noncompliant
    q = &x;  
}

在此示例中，函数 h 将本地变量 x 的地址存储在静态变量 q 中。静态变量 q 的生命周期在局部变量 x 的生命周期结束后仍然存在。将 x 复制到 q 不合规，并且 Polyspace 标记了变量 x。

将地址复制到线程局部变量再赋值给全局指针

在此示例中，线程局部变量 thread_local_var 的地址被赋值给全局指针 ptr_global_var。然后在线程 myThread 上调用函数 thread_function。在 myThread 终止后，变量 thread_local_var 脱离作用域，指针 ptr_global_var 指向已销毁的对象。Polyspace 报告违反此规则。

#include <stdint.h>
#include <threads.h>
#include <stdlib.h>

_Thread_local int32_t thread_local_var = 0;
int* ptr_global_var;

void* thread_function(void* arg) {
    thread_local_var = (int32_t)arg;
    ptr_global_var = &thread_local_var;         /* Noncompliant */
}

void call_thread_function(void) {
    thrd_t myThread;

    ptr_global_var = &thread_local_var;
    thrd_create(&myThread, thread_function, (void*)1L);
    thrd_join(myThread, NULL);

    *ptr_global_var = 2; /* Bad memory access */
}

检查信息

组：指针和数组

类别：必需

AGC 类别：必需

版本历史记录

全部展开

R2024b: 规则扩展到涵盖线程局部对象

根据 MISRA C:2012 修订版 4，该规则扩展到线程局部对象。规则定义更改为具有自动或线程局部存储的对象的地址不得复制到第一个对象不复存在后仍然存在的另一个对象中。Polyspace 现在，如果您将线程局部对象的地址分配给范围大于线程的对象，则会报告违规。

R2022b: 规则检查项现在可检测到超出其作用域的局部变量

现在，如果本地变量的地址超出其作用域，该规则检查项会报告违规情况。以前，Polyspace 在将地址分配给全局变量、返回局部变量地址或返回参数地址时会报告违规。

更改后，该规则不再标记 static 局部变量。例如，在此代码中，函数 foo() 返回 static 指针 static_intptr_from_foo。在函数 bar() 中使用返回的指针初始化 temp 并不违反此规则，因为返回的指针具有 static 存储空间。

int* foo(int *in) {
    static int* static_intptr_from_foo;
    static_intptr_from_foo = in; //Compliant
    return static_intptr_from_foo;
}

int bar(void) {
    static int* static_intptr_from_bar;
    int *temp;
    temp = foo(&static_intptr_from_bar);
}

Polyspace 不再报告此类违规行为。

现在，检测到的违规行为会在本地变量的声明中报告。

另请参阅

检查 MISRA C:2012 (-misra3)

主题

检查并审查编码标准违规

The MISRA coding standards referenced in the Polyspace Bug Finder™ documentation are from the following MISRA standards:

MISRA C:2004
MISRA C:2012
MISRA C:2023
MISRA C++:2008
MISRA C++:2023

MISRA and MISRA C are registered trademarks of The MISRA Consortium Limited 2021.