C#：明确声明“不安全”的好处 / 编译器选项

Question

我了解指针以及在 C# 代码中使用它们的罕见需求。 我的问题是：必须在代码块中明确声明“不安全”背后的原因是什么。 此外，为什么必须更改编译器选项以允许“不安全”代码？

底线： CLR（或语言规范）中的内容使得我们不能随心所欲地使用指针（很像 C 和 C++），而不必键入“不安全”并更改编译器选项？

澄清一下：我知道什么是“不安全”和“安全”代码。 这只是一个问题，为什么我们必须做所有额外的工作（好吧，不是那么多额外的工作）才能使用这些功能。

Answer 1

这里有一篇对 C# 创建者 Anders Hejlsberg 的采访，内容涉及该主题< /a>. 基本上，正如 @Marc Gravell 所说：类型安全第一，显式声明不安全。

所以回答你的问题：CLR 中没有任何东西可以阻止它； 这是一种语言习语，旨在让您在处理类型时能够戴着安全手套。 如果你想脱掉手套，那是你的选择，但你必须主动选择脱掉手套。

编辑：

澄清一下：我知道什么
“不安全”和“安全”代码是一样的。 只是
为什么我们必须做所有的事情
额外的工作（好吧，没有那么多额外的工作）
只是为了能够使用这些功能。

正如我链接的采访中提到的，这是一个明确的设计决策。 C# 本质上是 Java 的演变，而在 Java 中，根本没有指针。 但设计者希望允许指针； 然而，由于 C# 通常会引入 Java 开发人员，因此他们认为最好的方式是默认行为与 Java 类似，即没有指针，同时仍然允许通过显式声明使用指针。

所以“额外的工作”是故意强迫你在做之前思考你在做什么。 通过明确，它迫使您至少考虑：“我为什么要这样做？当引用类型就足够了时，我真的需要一个指针吗？”

Answer 2

这主要是为了可验证。 通过声明不安全，手套就脱掉了——系统无法再保证您的代码不会失控。 在大多数情况下，非常希望留在安全区。

这在部分信任（插件等）中变得更加明显，但在常规代码中仍然很有价值。

Answer 3

实际上，CLR 对 /unsafe 开关或关键字没有任何要求。 事实上，C++/CLI（运行在CLR下的C++语言）没有这样的/unsafe开关，指针可以在CLR上自由使用。

因此，我会将您的问题改写为“为什么 C# 需要在使用指针之前使用 /unsafe？” 该问题的答案如此处给出的其他答案所述：帮助用户做出有意识的决定，失去在 CLR 上以非完全信任模式运行的能力。 C++ 实际上总是需要 CLR 上的完全信任，而每当您调用需要完全信任的代码或使用指针时，C# 都可以。

Answer 4

当您使用不安全的块时，它会导致代码无法验证。 这需要一定的权限才能执行，并且您可能不希望在输出中允许它（尤其是在共享源环境中），因此编译器中有一个开关可以禁止它。

Answer 5

从相反的角度思考：因为它没有被标记为不安全，所以您可以推断大多数代码默认情况下是“安全”的。 那么“安全”是什么意思呢？ 对于 .Net 代码，这包括（但可能不限于）：

• 垃圾收集器可以照常工作。
• 对特定类型的引用将引用该类型（或 null）的对象。
• 保证代码符合.Net 信任/安全要求。
• 该代码经过数学证明不会直接接触其自己的 AppDomain 之外的内存。 这可能看起来微不足道，但想象一下如果您在同一个应用程序中有多个 AppDomain。 程序员可以自信地将它们视为逻辑上独立的。

任何时候你使用指针，你都有机会打破这些保证。 因此，将代码标记为不安全就放弃了这些保护。

Answer 6

简而言之，.NET 希望您陈述您的意图。

当然，编译器可以推断出需要“不安全”标志。 但设计师希望这是一个经过深思熟虑的决定。

对我来说，它类似于 C# 中的许多语法要求：

• 没有不带中断的 switch case
• 没有访问级别“部分”（例如 C++ 中的“public：”标记）
• 没有使用“var”的类字段

模式是您不应移动或改变一件事而无意中影响另一件事。 在合理范围内，他们希望阻止你“搬起石头砸自己的脚”。

这里有很多很棒的、内容丰富的答案——也许这更符合你的问题。

Answer 7

这样，如果没有提升的权限等，哪些代码将无法在 Web 服务中运行是显而易见的。

Answer 8

培养良好习惯& 安全。 每当您在程序集中使用不安全的块时，都会向堆栈请求 NativeCode 权限。 这当然可以隐式完成，但是我们不能完全删除 private 关键字吗？ 我认为强制开发人员在使用不安全代码之前明确要求它是件好事。

Answer 9

安全代码和不安全代码之间最显着的区别是.net 的垃圾收集器无法访问不安全代码。 自动 GC 是 .net 语言的重要组成部分，当您超出其边界时，您会更改许多关于代码的假设。

指针特别允许在堆上创建没有 GC 引用的对象。 这导致了要求将代码标记为“不安全”的另一个极好的理由。 当您意识到存在内存泄漏时，可以轻松缩小内存泄漏的范围。