我们知道，C的函数调用通常是通过栈机制来实现的。函数调用时，会发生地址的跳转，在跳转之前，通过存储需要返回的地址，后存储的地址先返回，便可以实现逐个函数调用，逐地址返回。每个函数使用一个栈帧空间（用寄存器ebp和esp来标识这个空间的起始位置和结束位置）来存储寄存器状态、返回地址、参数、和函数的局部变量。当返回时，esp降低到ebp位置，以便这一段空间可以被其它调用的函数重复使用。

所以，我们通常会说，返回局部变量的地址是错误的操作。

但值可以正常返回，原因是值可以通过寄存器和浮点寄存器返回。当返回的数据量比较大时，如超过两个字长的字节，两个寄存器都放不下，通常的做法是在被调用函数的栈帧段规划出一段内存，将返回值复制到这段空间。

include

int test1()
{//代码效果参考：http://www.zidongmutanji.com/bxxx/521640.html

int a = 8;
return a; // 返回值暂存在寄存器

}
double test2()
{
double a = 8.8;
return a; // 返回值暂存在寄存器
}
struct St{
int arr[111];
};
struct St test3()
{
struct St st = {0};
return st;
};
main()
{
int a = test1(); // mov eax,dword ptr [ebp-4]
double d = test2(); // fld qword ptr [ebp-8]
struct St st = test3();
getchar();
}
看下面的汇编代码：

22: int a = test1();
0040113E call @ILT+0(test1) (00401005)
00401143 mov dword ptr [ebp-4],eax // 值返回
23: double d = test2();
00401146 call @ILT+5(test2) (0040100a)
0040114B fstp qword ptr [ebp-0Ch] // 值返回
24: struct St st = test3();
0040114E lea eax,[ebp-540h]
00401154 push eax // 用于存放返回值的地址（被调函数的栈帧上）压栈
00401155 call @ILT+10(test3) (0040100f)
0040115A add esp,4
0040115D mov esi,eax
0040115F mov ecx,6Fh
00401164 lea edi,[ebp-384h]
0040116A rep movs dword ptr [edi],dword ptr [esi]
0040116C mov ecx,6Fh
00401171 lea esi,[ebp-384h]
00401177 lea edi,[ebp-1C8h]
0040117D rep movs dword ptr [edi],dword ptr [esi]
25: getchar();
————————————————
18: return st;
004010E7 mov ecx,6Fh
004010EC lea esi,[ebp-1BCh]
004010F2 mov edi,dword ptr [ebp+8]
004010F5 rep movs dword ptr [edi],dword ptr [esi]
004010F7 mov eax,dword ptr [ebp+8]
返回被调函数（callee function）的局部空间的内存空间的地址当然是不对的，但主调函数（caller function）的栈空间的地址还是可以返回的。

先看返回被调函数局部变量的地址的情形：

include

int demo()
{
int a = 5;
return &a;
}
main()
{
int p = demo();
printf("%d\n",*p);// debug模式下输出5
getchar();
}
在Debug编译模式下，发现也可以正常输出变量的值？why?原因是这段可以覆盖的空间暂时没有被覆盖，那段空间，那个值还在，称为历史值（系统不会去操心这些历史值，如清零或置其它值，因为这些操作都会产生overhead）。Debug编译模式相对于Release，前者为了便于调试，会保留大量的调试信息，且不做优化。在Release模式下，上面的代码会生成一个随机值。

以下代码调用一个函数去覆盖前一次函数调用使用的栈帧空间：
//代码效果参考：http://www.zidongmutanji.com/zsjx/391099.html

include

int demo()
{
int a = 5;
return &a;
}
void foo()
{
int arr[1000]={0};
}
main()
{
int p = demo();
foo(); // foo会覆盖掉demo使用的空间
//printf("abc"); // 调用库内函数是同样的效果
printf("%d\n",*p); // debug模式下输出0
getchar();
}
返回被调函数的栈空间地址是可以的：

include

int demo(int p)
{
*p = 88;
return p;
}

main()
{
int a;
int p = demo(&a);
printf("%d\n",p); // 88
getchar();
}
以下三类空间的地址是可以返回的：

include

include

int g_var = 66;
int test1()
{
g_var++;
return &g_var; // 返回全局变量的地址，通常是没必要这样操作的
}
int test2()
{
static s_var = 55;
return &s_var; // 返回局部静态变量的地址
}

int test3()
{
int p = (int)malloc(sizeof(int));
return p; // 返回堆空间地址
}
main()
{
int p = test1();
p = test2();
p = test3();
getchar();
}