我们知道,C的函数调用通常是通过栈机制来实现的。函数调用时,会发生地址的跳转,在跳转之前,通过存储需要返回的地址,后存储的地址先返回,便可以实现逐个函数调用,逐地址返回。每个函数使用一个栈帧空间(用寄存器ebp和esp来标识这个空间的起始位置和结束位置)来存储寄存器状态、返回地址、参数、和函数的局部变量。当返回时,esp降低到ebp位置,以便这一段空间可以被其它调用的函数重复使用。
所以,我们通常会说,返回局部变量的地址是错误的操作。
但值可以正常返回,原因是值可以通过寄存器和浮点寄存器返回。当返回的数据量比较大时,如超过两个字长的字节,两个寄存器都放不下,通常的做法是在被调用函数的栈帧段规划出一段内存,将返回值复制到这段空间。
include
int test1()
{//代码效果参考:http://www.zidongmutanji.com/bxxx/521640.html
int a = 8;
return a; // 返回值暂存在寄存器
}
double test2()
{
double a = 8.8;
return a; // 返回值暂存在寄存器
}
struct St{
int arr[111];
};
struct St test3()
{
struct St st = {0};
return st;
};
main()
{
int a = test1(); // mov eax,dword ptr [ebp-4]
double d = test2(); // fld qword ptr [ebp-8]
struct St st = test3();
getchar();
}
看下面的汇编代码:
22: int a = test1();
0040113E call @ILT+0(test1) (00401005)
00401143 mov dword ptr [ebp-4],eax // 值返回
23: double d = test2();
00401146 call @ILT+5(test2) (0040100a)
0040114B fstp qword ptr [ebp-0Ch] // 值返回
24: struct St st = test3();
0040114E lea eax,[ebp-540h]
00401154 push eax // 用于存放返回值的地址(被调函数的栈帧上)压栈
00401155 call @ILT+10(test3) (0040100f)
0040115A add esp,4
0040115D mov esi,eax
0040115F mov ecx,6Fh
00401164 lea edi,[ebp-384h]
0040116A rep movs dword ptr [edi],dword ptr [esi]
0040116C mov ecx,6Fh
00401171 lea esi,[ebp-384h]
00401177 lea edi,[ebp-1C8h]
0040117D rep movs dword ptr [edi],dword ptr [esi]
25: getchar();
————————————————
18: return st;
004010E7 mov ecx,6Fh
004010EC lea esi,[ebp-1BCh]
004010F2 mov edi,dword ptr [ebp+8]
004010F5 rep movs dword ptr [edi],dword ptr [esi]
004010F7 mov eax,dword ptr [ebp+8]
返回被调函数(callee function)的局部空间的内存空间的地址当然是不对的,但主调函数(caller function)的栈空间的地址还是可以返回的。
先看返回被调函数局部变量的地址的情形:
include
int demo()
{
int a = 5;
return &a;
}
main()
{
int p = demo();
printf("%d\n",*p);// debug模式下输出5
getchar();
}
在Debug编译模式下,发现也可以正常输出变量的值?why?原因是这段可以覆盖的空间暂时没有被覆盖,那段空间,那个值还在,称为历史值(系统不会去操心这些历史值,如清零或置其它值,因为这些操作都会产生overhead)。Debug编译模式相对于Release,前者为了便于调试,会保留大量的调试信息,且不做优化。在Release模式下,上面的代码会生成一个随机值。
以下代码调用一个函数去覆盖前一次函数调用使用的栈帧空间:
//代码效果参考:http://www.zidongmutanji.com/zsjx/391099.html
include
int demo()
{
int a = 5;
return &a;
}
void foo()
{
int arr[1000]={0};
}
main()
{
int p = demo();
foo(); // foo会覆盖掉demo使用的空间
//printf("abc"); // 调用库内函数是同样的效果
printf("%d\n",*p); // debug模式下输出0
getchar();
}
返回被调函数的栈空间地址是可以的:
include
int demo(int p)
{
*p = 88;
return p;
}
main()
{
int a;
int p = demo(&a);
printf("%d\n",p); // 88
getchar();
}
以下三类空间的地址是可以返回的:
include
include
int g_var = 66;
int test1()
{
g_var++;
return &g_var; // 返回全局变量的地址,通常是没必要这样操作的
}
int test2()
{
static s_var = 55;
return &s_var; // 返回局部静态变量的地址
}
int test3()
{
int p = (int)malloc(sizeof(int));
return p; // 返回堆空间地址
}
main()
{
int p = test1();
p = test2();
p = test3();
getchar();
}