最近在调试程序内存的问题时，通过asan挂上内存监听，遇到了一个stack-use-after-scope的错误，asan调试其他问题的介绍后面有空再介绍，本文通过asan发现了C++一个关于生命周期的bug，它会导致程序错误的使用栈。问题比较经典，故特定分享一下。

问题现象

在使用播放器播放视频的时候，如果不断的移动播放器进度条，有非常小的概率导致移动失败。
再加上调试过程中，移动进度条播放时，相关代码存在内存泄漏，故相应代码部位添加了asan用于检测。

调试和日志

开启asan的方式简单介绍如下


QMAKE_CXXFLAGS += -fsanitize=address -g
QMAKE_LFLAGS += -fsanitize=address

然后挂上asan的库运行即可


LD_PRELOAD=/usr/lib/aarch64-linux-gnu/libasan.so.5.0.0 ./kylin-video

其他问题我们先不关注，这里只关注本文章讨论的stack-use-after-scope，故asan检测到的错如下


==88163==ERROR: AddressSanitizer: stack-use-after-scope on address 0x007ffe54b9b0 at pc 0x007f99a74504 bp 0x007ffe54ab40 sp 0x007ffe54abb8
READ of size 3 at 0x007ffe54b9b0 thread T0
    #0 0x7f99a74500  (/usr/lib/aarch64-linux-gnu/libasan.so.5.0.0+0x64500)
    #1 0x7f9753d408 in bstr0 ../misc/bstr.h:61
    #2 0x7f9753d408 in set_node_arg ../input/cmd.c:179
    #3 0x7f9753dfd8 in cmd_node_array ../input/cmd.c:227
    #4 0x7f9753dfd8 in mp_input_parse_cmd_node ../input/cmd.c:301
    #5 0x7f9753e638 in mp_input_parse_cmd_strv ../input/cmd.c:502
    #6 0x7f9755f2ec in mpv_command_async ../player/client.c:1196
    #7 0x557793118c in MpvCore::Seek(int, bool, bool) core/mpvcore.cpp:588
    #8 0x5577932a74 in operator() core/mpvcore.cpp:1330
    #9 0x5577932a74 in call /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:146
    #10 0x5577932a74 in call<QtPrivate::List<int>, void> /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:256
    #11 0x5577932a74 in impl /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:439
    #12 0x5577932a74 in impl /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:432
    #13 0x7f95bd79e4 in QMetaObject::activate(QObject*, int, int, void**) (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x29c9e4)
    #14 0x5577b02500 in GlobalUserSignal::sigSeek(int) .moc/moc_globalsignal.cpp:1047
    #15 0x55779e1174 in GlobalUserSignal::seek(int) global/globalsignal.h:47
    #16 0x55779e1174 in operator() widget/contralbar.cpp:647
    #17 0x55779e1174 in call /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:146
    #18 0x55779e1174 in call<QtPrivate::List<>, void> /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:256
    #19 0x55779e1174 in impl /usr/include/aarch64-linux-gnu/qt5/QtCore/qobjectdefs_impl.h:439
    #20 0x7f95be52b8  (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x2aa2b8)
    #21 0x7f95bd8264 in QObject::event(QEvent*) (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x29d264)
    #22 0x7f967468e8 in QApplicationPrivate::notify_helper(QObject*, QEvent*) (/lib/aarch64-linux-gnu/libQt5Widgets.so.5+0x15e8e8)
    #23 0x7f9674feec in QApplication::notify(QObject*, QEvent*) (/lib/aarch64-linux-gnu/libQt5Widgets.so.5+0x167eec)
    #24 0x7f95ba89c0 in QCoreApplication::notifyInternal2(QObject*, QEvent*) (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x26d9c0)
    #25 0x7f95c051ac in QTimerInfoList::activateTimers() (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x2ca1ac)
    #26 0x7f95c05adc  (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x2caadc)
    #27 0x7f96d82708 in g_main_context_dispatch (/lib/aarch64-linux-gnu/libglib-2.0.so.0+0x51708)
    #28 0x7f96d82974  (/lib/aarch64-linux-gnu/libglib-2.0.so.0+0x51974)
    #29 0x7f96d82a18 in g_main_context_iteration (/lib/aarch64-linux-gnu/libglib-2.0.so.0+0x51a18)
    #30 0x7f95c05e70 in QEventDispatcherGlib::processEvents(QFlags<QEventLoop::ProcessEventsFlag>) (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x2cae70)
    #31 0x7f95ba716c in QEventLoop::exec(QFlags<QEventLoop::ProcessEventsFlag>) (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x26c16c)
    #32 0x7f95baf770 in QCoreApplication::exec() (/lib/aarch64-linux-gnu/libQt5Core.so.5+0x274770)
    #33 0x55778f3dc0 in main src/main.cpp:68
    #34 0x7f954ced8c in __libc_start_main (/lib/aarch64-linux-gnu/libc.so.6+0x20d8c)
    #35 0x55778ff55c  (/home/kylin/kylin-video+0xdf55c)

Address 0x007ffe54b9b0 is located in stack of thread T0 at offset 928 in frame
    #0 0x557793040c in MpvCore::Seek(int, bool, bool) core/mpvcore.cpp:552

  This frame has 28 object(s):
    [48, 49) '<unknown>'
    [64, 65) '<unknown>'
    [80, 81) '<unknown>'
    [96, 97) '<unknown>'
    [112, 113) '<unknown>'
    [128, 129) '<unknown>'
    [144, 145) '<unknown>'
    [160, 161) '<unknown>'
    [176, 184) '<unknown>'
    [208, 216) '<unknown>'
    [240, 248) '<unknown>'
    [272, 280) 'tmp' (line 565)
    [304, 312) '<unknown>'
    [336, 344) '<unknown>'
    [368, 376) '<unknown>'
    [400, 408) '<unknown>'
    [432, 440) '<unknown>'
    [464, 472) '<unknown>'
    [496, 504) '__dnew'
    [528, 536) '<unknown>'
    [560, 568) '__dnew'
    [592, 624) '<unknown>'
    [656, 680) 'args' (line 573)
    [720, 752) 'args' (line 568)
    [784, 816) '<unknown>'
    [848, 880) 'args' (line 587)
    [912, 944) '<unknown>' <== Memory access at offset 928 is inside this variable
    [976, 1016) 'args' (line 581)
HINT: this may be a false positive if your program uses some custom stack unwind mechanism, swapcontext or vfork
      (longjmp and C++ exceptions *are* supported)
SUMMARY: AddressSanitizer: stack-use-after-scope (/usr/lib/aarch64-linux-gnu/libasan.so.5.0.0+0x64500)
Shadow bytes around the buggy address:
  0x001fffca96e0: f8 f2 00 00 00 f2 00 00 00 f2 00 00 00 f2 00 00
  0x001fffca96f0: 00 f2 00 00 00 f2 00 00 f8 f2 00 00 00 f2 00 00
  0x001fffca9700: 00 f2 00 00 f8 f2 00 00 f8 f2 f2 f2 f8 f8 f8 f8
  0x001fffca9710: f2 f2 f2 f2 00 00 00 f2 f2 f2 f2 f2 00 00 00 00
  0x001fffca9720: f2 f2 f2 f2 00 00 00 00 f2 f2 f2 f2 00 00 00 00
=>0x001fffca9730: f2 f2 f2 f2 f8 f8[f8]f8 f2 f2 f2 f2 00 00 00 00
  0x001fffca9740: 00 f3 f3 f3 f3 f3 00 00 00 00 00 00 00 00 00 00
  0x001fffca9750: 00 00 00 00 00 00 f1 f1 f1 f1 00 f3 f3 f3 00 00
  0x001fffca9760: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  0x001fffca9770: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  0x001fffca9780: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
Shadow byte legend (one shadow byte represents 8 application bytes):
  Addressable:           00
  Partially addressable: 01 02 03 04 05 06 07
  Heap left redzone:       fa
  Freed heap region:       fd
  Stack left redzone:      f1
  Stack mid redzone:       f2
  Stack right redzone:     f3
  Stack after return:      f5
  Stack use after scope:   f8
  Global redzone:          f9
  Global init order:       f6
  Poisoned by user:        f7
  Container overflow:      fc
  Array cookie:            ac
  Intra object redzone:    bb
  ASan internal:           fe
  Left alloca redzone:     ca
  Right alloca redzone:    cb
  Shadow gap:              cc
==88163==ABORTING

关于asan的一下解释后面更新，这里通过错误我们看到了stack-use-after-scope，这个什么意思呢？如下

stack-use-after-scope 指的是在栈区变量生命周期之外使用到了栈区变量

通俗点就是，访问了一个作用域之外的栈变量。

此时，通过反汇编代码，可以看到真正存在问题的汇编如下


   0x0000007ff74133f8 <+536>:   ldr     x23, [x23]

可以看到这是一个取值操作，根据汇编上下文和代码上下文分析，其代码如下


int r = m_option_parse(log, opt, bstr0(cmd->name),
    bstr0(val->u.string), dst);

对于取值，我们可以看到val->u.string，随机可以通过gdb打印相关值，如下


(gdb) p val->u.string
$6 = 0x7fffffe5b8 "32"

可以看到，这里ldr就是把0x7fffffe5b8里面的值32取走了，符合bstr0(val->u.string)的逻辑。我们看看程序的栈区范围如下


kylin@kylin:~$ cat /proc/198018/maps | grep stack
7ffffdf000-8000000000 rw-p 00000000 00:00 0                              [stack]

可以看到0x7fffffe5b8就是栈区的变量。
我们知道问题是播放器点击进度条的时候概率出现的，所以我们回到播放器的代码分析


void MpvCore::Seek(int pos, bool relative, bool osd)
  const char *args[] = {"seek", QString::number(pos).toStdString().c_str(), "absolute", NULL};
  mpv_command_async(m_mpvHandle, MPV_REPLY_COMMAND, args);
}

这里32的字符串的值就是QString::number(pos).toStdString().c_str()传递进去的。
我们还需要留意一个细节，那就是mpv_command_async，稍微跟踪一下代码如下


mpv_command_async
  run_async_cmd
    run_async
      mp_dispatch_enqueue

到这里我们可以清楚了，mpv的控制是异步接口，默认的命令通过队列管理，异步触发。

分析问题

根据上面的代码分析，调试和日志，我们知道了这是在一个异步请求上出现的访问了作用域之外的栈变量。
也就是说，args的构造中使用了栈变量，它标记销毁了，所以我们重点看args是如何构造的


const char *args[] = {"seek", QString::number(pos).toStdString().c_str(), "absolute", NULL};

我们可以知道，"seek" "absolute" 都是只读数据区，那么唯一出现在0x7fffffe5b8位置，也就是栈区的值就是QString::number(pos).toStdString().c_str()。那么我们可以得出结论

QString::number(pos).toStdString().c_str() 返回的值，在其作用域之外会被回收
代码是异步的，Seek函数调用完毕之后，栈区会回收局部变量

为了解决这个问题，我们就要从c++关于prvalue(pure rvalue：纯右值)，也就是临时变量的生命周期谈起，相关文章如下，有兴趣的可以直接翻阅

https://en.cppreference.com/w/cpp/language/lifetime

理论支持

根据上面文献的描述，我们在如下情况下可以延长生命周期

binding a reference to a prvalue
initializing an object of type std::initializer_list< T > from a brace-enclosed initializer list (since C++11)
returning a prvalue from a function
conversion that creates a prvalue (including T(a, b, c) and T{})
lambda expression (since C++11)
copy-initialization that requires conversion of the initializer,
reference-initialization to a different but convertible type or to a bitfield. (until C++17)
when performing member access on a class prvalue
when performing an array-to-pointer conversion or subscripting on an array prvalue
for unevaluated operands in sizeof and typeid
when a prvalue appears as a discarded-value expression

根据上面的描述，可以选用如下两种来解决此问题

binding a reference to a prvalue
copy-initialization that requires conversion of the initializer

其他的并不符合当前代码上下文状态。

给纯右值做引用绑定


std::string&& str = QString::number(pos).toStdString();
const char *args[] = {"seek", str.c_str(), "absolute", NULL};

这里 && 是使用右值引用，它等效于const情况下的左值引用，如下


const std::string& str = QString::number(pos).toStdString();
const char *args[] = {"seek", str.c_str(), "absolute", NULL};

这样可以实现对c_str()这个栈区的变量进行延长生命周期

拷贝初始化


std::string str = QString::number(pos).toStdString();
const char *args[] = {"seek", str.c_str(), "absolute", NULL};

这里直接初始化了一个str，对于args的传递，我们使用初始化完成的str来访问c_str()，这样的方式延长了其生命周期。

总结

至此，我们通过分析了c++关于临时变量延长生命周期的方式，解决了一个概率很低的bug(隐秘的bug)，此bug一般不会出现问题，但长时间运行和压力测试就会出现错误，通过前期的分析和借助asan工具，可以很好的地位此问题。
另一方面，此问题是关于c++的string类型的生命周期问题，c_str()是当时栈区的临时变量，QString::number(pos).toStdString()如果和c_str()一起写，也就是QString::number(pos).toStdString().c_str()，那么这个string作为临时变量，它的生命周期本应该在;结束，所以c_str()指向的栈区会在作用域之外失效，为了延长其生命周期，我们通过右值引用和带const的左值引用，以及完全初始化string变量都可以延长其生命周期。

所谓延长其生命周期，也就是使得string有效访问，直到函数传递后不再访问string类型变量为止，由c++定义回收。否则，其string类型变量使用之后，内容再回收，异步的程序如果再次访问此栈区，可能会在某种情况下，被应用程序某个行为进行修改，从而导致此值的错误，然后从隐秘的bug变成实际出现的bug。