在 C# 中使不安全的代码安全
Making unsafe code safe in C#
我最近正在阅读 image processing in C#
上的一篇文章
里面有些代码我不是很喜欢,因为它不安全,我想知道它是否可以变得安全:
public static bool Invert(Bitmap b)
{
// GDI+ still lies to us - the return format is BGR, NOT RGB.
BitmapData bmData = b.LockBits(new Rectangle(0, 0, b.Width, b.Height),
ImageLockMode.ReadWrite, PixelFormat.Format24bppRgb);
int stride = bmData.Stride;
System.IntPtr Scan0 = bmData.Scan0;
unsafe
{
byte * p = (byte *)(void *)Scan0;
int nOffset = stride - b.Width*3;
int nWidth = b.Width * 3;
for(int y=0;y < b.Height;++y)
{
for(int x=0; x < nWidth; ++x )
{
p[0] = (byte)(255-p[0]);
++p;
}
p += nOffset;
}
}
b.UnlockBits(bmData);
return true;
}
行 byte* p = (byte*)(void*)Scan0; 看起来像是罪魁祸首,但我不得不说我真的不明白它在做什么,或者如何让它变得安全。
任何人都可以解释一下吗?
主要是出于性能原因使用不安全代码。基本思想是逐字节处理图像数据,并手动翻转每个字节(尽管有更有效和更简单的方法来处理相同的事情)。
底层图像由非托管代码 GDI+ 处理。因此,当您直接处理图像字节时,您必须操作非托管内存。这到底有多安全或不安全实际上很难确定——这在很大程度上取决于非托管内存最初是如何分配的。鉴于您正在使用托管代码,并且您可能从文件或某些流中加载了位图,这很可能并不是真的不安全,实际上 - 例如,您没有办法意外覆盖您的托管内存。 unsafe 关键字的名称并非来自其本身的危险性 - 它来自 允许 你做非常不安全的事情。例如,如果您在自己的托管堆栈上为位图分配内存,则可能会把事情搞得一团糟。
总的来说,如果您确实可以证明不安全的代码值得付出代价,那么最好只使用不安全的代码。在图像处理中,这通常是一个很好的权衡——你正在处理大量简单的数据,其中的开销例如边界检查可能很重要,尽管只验证一次很容易,而不是在循环的每次迭代中。
如果您想摆脱这种不安全的代码,一种方法是分配您自己的 byte[](托管),使用 Marshal.Copy 将图像数据复制到此 byte[],在托管数组中进行修改,然后再次使用 Marshal.Copy 将结果复制回来。问题是,这意味着分配一个与原始图像一样大的 byte[],然后复制它两次(在这种情况下边界检查可以忽略不计 - .NET JIT 编译器将优化它)。最后,在使用 Marshal.Copy 时仍然 可能 犯错,这会给你带来与 unsafe 相同的问题(不完全是, 但那将是一个更长的谈话)。
对我来说,将 unsafe 作为关键字到目前为止最有价值的部分是它允许您本地化您正在做的不安全的事情。虽然典型的非托管应用程序是彻头彻尾的不安全,但 C# 只允许您在代码的特别标记部分不安全。虽然这些仍然会影响代码的其余部分(这是您只能在 FullTrust 环境中使用 unsafe 的原因之一),但它使它们更容易调试和控制。一如既往,这是一种权衡。
但是,代码实际上以一种非常不同的方式不安全 - 如果代码中间存在异常,UnlockBits 调用可能永远不会发生。您真的应该使用 finally 子句来确保正确清理非托管资源。
最后一点,如果您想要 "real" 性能,无论安全还是不安全,您可能都不会在 CPU 上进行图像处理。今天,通常可以安全地假设您 运行 使用的计算机有一个 GPU,可以更快、更轻松地完成工作,并且与计算机本身 运行 上的代码完全隔离。
我最近正在阅读 image processing in C#
上的一篇文章里面有些代码我不是很喜欢,因为它不安全,我想知道它是否可以变得安全:
public static bool Invert(Bitmap b)
{
// GDI+ still lies to us - the return format is BGR, NOT RGB.
BitmapData bmData = b.LockBits(new Rectangle(0, 0, b.Width, b.Height),
ImageLockMode.ReadWrite, PixelFormat.Format24bppRgb);
int stride = bmData.Stride;
System.IntPtr Scan0 = bmData.Scan0;
unsafe
{
byte * p = (byte *)(void *)Scan0;
int nOffset = stride - b.Width*3;
int nWidth = b.Width * 3;
for(int y=0;y < b.Height;++y)
{
for(int x=0; x < nWidth; ++x )
{
p[0] = (byte)(255-p[0]);
++p;
}
p += nOffset;
}
}
b.UnlockBits(bmData);
return true;
}
行 byte* p = (byte*)(void*)Scan0; 看起来像是罪魁祸首,但我不得不说我真的不明白它在做什么,或者如何让它变得安全。
任何人都可以解释一下吗?
主要是出于性能原因使用不安全代码。基本思想是逐字节处理图像数据,并手动翻转每个字节(尽管有更有效和更简单的方法来处理相同的事情)。
底层图像由非托管代码 GDI+ 处理。因此,当您直接处理图像字节时,您必须操作非托管内存。这到底有多安全或不安全实际上很难确定——这在很大程度上取决于非托管内存最初是如何分配的。鉴于您正在使用托管代码,并且您可能从文件或某些流中加载了位图,这很可能并不是真的不安全,实际上 - 例如,您没有办法意外覆盖您的托管内存。 unsafe 关键字的名称并非来自其本身的危险性 - 它来自 允许 你做非常不安全的事情。例如,如果您在自己的托管堆栈上为位图分配内存,则可能会把事情搞得一团糟。
总的来说,如果您确实可以证明不安全的代码值得付出代价,那么最好只使用不安全的代码。在图像处理中,这通常是一个很好的权衡——你正在处理大量简单的数据,其中的开销例如边界检查可能很重要,尽管只验证一次很容易,而不是在循环的每次迭代中。
如果您想摆脱这种不安全的代码,一种方法是分配您自己的 byte[](托管),使用 Marshal.Copy 将图像数据复制到此 byte[],在托管数组中进行修改,然后再次使用 Marshal.Copy 将结果复制回来。问题是,这意味着分配一个与原始图像一样大的 byte[],然后复制它两次(在这种情况下边界检查可以忽略不计 - .NET JIT 编译器将优化它)。最后,在使用 Marshal.Copy 时仍然 可能 犯错,这会给你带来与 unsafe 相同的问题(不完全是, 但那将是一个更长的谈话)。
对我来说,将 unsafe 作为关键字到目前为止最有价值的部分是它允许您本地化您正在做的不安全的事情。虽然典型的非托管应用程序是彻头彻尾的不安全,但 C# 只允许您在代码的特别标记部分不安全。虽然这些仍然会影响代码的其余部分(这是您只能在 FullTrust 环境中使用 unsafe 的原因之一),但它使它们更容易调试和控制。一如既往,这是一种权衡。
但是,代码实际上以一种非常不同的方式不安全 - 如果代码中间存在异常,UnlockBits 调用可能永远不会发生。您真的应该使用 finally 子句来确保正确清理非托管资源。
最后一点,如果您想要 "real" 性能,无论安全还是不安全,您可能都不会在 CPU 上进行图像处理。今天,通常可以安全地假设您 运行 使用的计算机有一个 GPU,可以更快、更轻松地完成工作,并且与计算机本身 运行 上的代码完全隔离。