栈展开

玻尔百科

核心要点

栈展开是一个自动化过程，当因异常导致控制流跳出作用域时，该过程会按顺序销毁栈上分配的对象并执行清理代码。
此机制是 C++ 中“资源获取即初始化”(RAII) 和 Java 中 try...finally 代码块等健壮资源管理模式的基础。
异常安全的一条关键规则是，清理代码（如析构函数）决不能抛出异常，因为这会导致不可恢复的状态和程序终止。
栈展开的影响超出了错误处理的范畴，延伸到系统的关键领域，如在并发编程中防止死锁，以及在安全领域确保控制流的完整性。

引言

程序运行时，它并非一个静态的脚本，而是一个动态的过程，会构建一个称为“调用栈”的函数调用层级结构。虽然这种结构在有序执行时工作得非常完美，但错误或异常等意外事件可能会突然中断正常的流程。这种中断带来了一个关键问题：活跃函数已获取的资源——内存、文件句柄或网络连接——会发生什么？若没有一个规范的清理过程，这些资源就会被泄漏，导致软件不稳定和不可靠。

本文深入探讨“栈展开”（stack unwinding），这是现代编程语言用来解决这一问题的优雅而强大的机制。它提供了一个正式的保证：无论函数作用域因何种原因退出，总会执行一次有序的清理。首先，在“原理与机制”一章中，我们将剖析这个过程本身，探索运行时系统如何回溯调用栈，为每个栈帧一丝不苟地执行清理代码。然后，在“应用与跨学科关联”中，我们将拓宽视野，了解这一基本概念如何促成强大的语言特性，确保并发系统的稳定性，甚至影响硬件设计，从而揭示其作为现代弹性软件工程基石的地位。

原理与机制

要真正领会栈展开的精妙之处，我们必须首先思考程序在运行时究竟是什么。它不是一个静态的指令列表，而是一个动态的、鲜活的过程。当函数 main 调用另一个函数 func_A，后者又调用 func_B 时，程序会在内存中构建一个结构来追踪这个层级关系。这个结构就是调用栈，其行为与一叠盘子完全相同：最后放上去的盘子最先被取下。每个盘子都是一个活动记录（或称栈帧），是单个函数调用的独立工作空间，存放着其局部变量以及一个关于在函数结束时应在调用者何处继续执行的记录。

责任的多米诺骨牌链

想象你正在小心翼翼地组装一个精巧的结构。你先放下底座 A。为了添加部件 B，你需要一个特殊工具 tool_B，你把它从盒子里拿出来。然后，为了添加部件 C，你使用了 tool_C。现在，你的工作台上有了结构 A-B-C 和正在使用的工具 tool_B 和 tool_C。当你完工后，一个合乎规范的清理要求你按照与取出时相反的顺序把工具放回去：先是 tool_C，然后是 tool_B。这是所有工程领域的一项基本准则，也是软件中资源管理的核心。

现在，假设在你放置部件 D 时，一阵突然的震动——一个“异常”——摇晃了你的工作台。你必须立即放弃这个项目。一种天真的反应是直接跑开。但 tool_B 和 tool_C 怎么办？它们被遗留在外面，盒子是空的。它们所代表的资源（如文件句柄或网络连接）现在被“泄漏”了——仍然标记为“使用中”，但无人对其负责。这正是当一个程序使用裸指针分配内存，而在内存被手动释放前发生异常时所出现的情况。该指针是我们与那块内存的唯一联系，当其栈帧被销毁时，指针也随之消失，而内存本身则成了堆上的孤儿。

这正是栈展开旨在解决的问题。它是一份契约，是运行时系统的一个保证：无论作用域因何退出——是正常返回还是灾难性失败——都将执行必要的清理。这种自动化的、确定性的清理是编写健壮软件的基石。

展开一个递归的阶梯

为了让调用栈变得具体可感，我们来考虑一个调用自身的函数——递归。想象一个函数 Climb(step)，它代表爬梯子。我们从调用 Climb(0) 开始。在函数内部，它获取一个资源（比如，记录“进入第 0 步”），然后调用 Climb(1)。这个过程重复进行：Climb(1) 调用 Climb(2)，Climb(2) 调用 Climb(3)，依此类推。如果我们追踪到 Climb(4)，我们的调用栈现在已有五层深，形成一个由活动记录组成的阶梯：

Climb(0) → Climb(1) → Climb(2) → Climb(3) → Climb(4)

假设这个函数被设计成当步数达到 $4$ 时抛出异常。因此，在 Climb(4) 内部，我们“滑倒”了。一个异常被抛出。现在，奇妙的事情开始了。系统并非直接崩溃；它启动了一场有序的、沿着我们阶梯的梯级向下的回溯行进。

运行时系统检查最顶层的栈帧 Climb(4)，并询问：“你是否有针对这个‘滑倒’异常的处理程序？” 让我们想象，我们的函数只在 step=1 时才有能力处理滑倒。所以 Climb(4) 栈帧回答：“不，我无法处理这个。”

然而，在运行时系统丢弃这个栈帧之前，它会履行其神圣的职责：清理。在像 C++ 这样的语言中，这正是资源获取即初始化 (RAII) 原则发挥作用的地方。如果 Climb(4) 函数创建了一个局部的“守护”对象来管理其资源，运行时会保证该对象的析构函数在此时被调用。日志文件被关闭，网络套接字被释放，工具被放回其盒子。这个清理不是可选的；它被编织进了语言的结构之中。

只有在清理完成后，Climb(4) 栈帧才会被从栈中弹出。然后系统移至其下方的栈帧 Climb(3)。同样的问题被提出：“你能处理这个吗？”“不能。”于是 Climb(3) 的清理工作被执行，其栈帧被弹出。这个为寻找处理程序而进行的“搜索与销毁”任务对 Climb(2) 继续进行。这不仅仅是 pop、pop、pop；它是一个谨慎的 cleanup-and-pop、cleanup-and-pop。这就是栈展开。

最终，展开器到达 Climb(1) 的栈帧。“你能处理这个吗？”“能！” 展开过程停止。该异常被视为已捕获。Climb(1) 中 catch 代码块内的代码开始运行，程序的执行从这个新的点继续。Climb(1) 和 Climb(0) 的栈帧从未被展开；它们将在之后完成工作并通过正常的函数返回退出。在我们从第 $4$ 步滑倒到在第 $1$ 步捕获的旅程中，恰好有 $3$ 个栈帧被展开，并且它们的资源得到了尽职的清理。

展开器的地图：从抽象到机器

这个过程并非魔法。它是编译器执行的细致簿记的结果。编译器扮演着地图绘制师的角色，创建详细的地图，供运行时展开器在异常期间导航栈的险恶地形。

为了让展开器从一个栈帧移动到前一个栈帧，它必须知道前一个栈帧的确切位置和状态。“调用前的状态”被称为规范帧地址 (Canonical Frame Address, CFA)。编译器生成规则，告诉展开器如何根据当前函数的状态计算调用者的 CFA。这些规则考虑了函数为其变量在栈上分配的每一个字节以及它保存的每一个寄存器。这张地图至关重要，特别是当具有不同设置约定的函数相互调用时。

让我们更深入地观察机器层面。处理器有一个特殊的寄存器，称为栈指针 ( $SP$ )，它指向栈当前的“顶部”。当一个函数为局部变量分配空间时，它只需移动 $SP$ 来预留那块内存。因此，展开一个栈帧是一个具体的操作：运行时调整 $SP$ 以回收该栈帧使用的内存。在一种常见的“向下生长”的栈结构中（栈向更低的内存地址构建），展开一个大小为 $48$ 字节的栈帧意味着给 $SP$ 加上 $48$ ，将其移回函数调用之前的位置。

那么清理代码存放在哪里呢？编译器会生成被称为着陆区 (landing pads) 的隐藏代码块。异常表——地图的核心——所做的不仅仅是指向一个处理程序。对于每一个可能需要清理的代码区域，异常表都提供了着陆区的确切内存地址。展开器的工作就是简单地跳转到那个地址。这段由编译器编写的代码会尽职地调用 C++ 对象的析构函数，或执行 Java 和 C# 程序的 finally 代码块。因此，展开过程是通用的运行时展开器与特定的、由编译器生成的清理例程之间的一场优美的舞蹈。

基本法则：清理绝不能失败

这个强大的自动化系统建立在一个关键的假设之上：清理过程本身不会失败。如果一个析构函数，一段本应恢复秩序的代码，反而引发了更多的混乱，会发生什么？

让我们回到调用栈，顶层是函数 F_2。一个异常 $E_1$ 被抛出，展开器开始工作。它必须按照对象创建的逆序来清理 F_2 中的对象：先是 $O_3$ ，然后是 $O_2$ ，最后是 $O_1$ 。

$O_3$ 的析构函数被调用并成功完成。
接着， $O_2$ 的析构函数被调用。但是这个析构函数在它自己的清理过程中，抛出了一个新的异常 $E_2$ ！

系统现在处于一种无法恢复的模糊状态。存在两个活跃的异常， $E_1$ 和 $E_2$ 。应该传播哪一个？对 $E_1$ 的展开应该继续吗？如果继续，那 $E_2$ 怎么办？没有一个单一的、普遍正确的答案。

面对这种悖论，C++ 标准做出了一个极端但安全的选择：它放弃了。运行时调用 std::terminate()，程序立即中止。对 $E_1$ 的展开过程被中断。 $O_1$ 的析构函数永远不会被运行。等待 $E_1$ 的处理程序也永远不会被触及。这揭示了编写异常安全代码最深刻的规则：析构函数和其他清理代码必须绝对可靠。它们的任务是清理，而不是通过抛出异常来报告新的错误。

统一之美

我们已经通过 C++ 及其 RAII 原则的视角审视了这一复杂的机制，但其真正的美在于其普遍性。正是这套相同的、由表驱动的展开机制，为多种语言的健壮错误处理提供了基础。Java 和 C# 中的 finally 代码块保证无论 try 代码块如何退出都会执行，它们是使用与着陆区和栈回溯完全相同的概念实现的。编译器只是将高级语言特性翻译成给运行时的低级指令：“为这段代码区域，注册这个清理例程。”

这揭示了现代软件工程中一种深刻而优雅的统一性。一个单一、强大且高效的机制，建立在栈的简单后进先出（LIFO）原则之上，使我们能够构建复杂、有弹性的系统。栈展开是那个沉默而守纪的引擎，它确保即使我们的程序遭遇不测，也能优雅地回退，把每一个工具都放回原位。

应用与跨学科关联

在普通观察者看来，栈展开可能像是编程语言的一个小众特性，一个只在出问题时才现身的清洁服务。但这种看法虽然不完全错误，却忽略了这一概念深刻的美感和深远的影响。栈展开不仅仅是为了错误恢复；它是一种在常常混乱的程序执行世界中强加秩序和可预测性的基本机制。它是有纪律的撤退，为未来的前进创造了条件。当控制流发生意外转向时——无论是由于错误、硬件中断还是复杂的并发协议——正是展开过程确保了程序状态的连贯性和其资源的审慎管理。

这段从混乱状态回归有序状态的旅程，揭示了贯穿整个计算机科学领域的深刻联系，从语言设计的抽象优雅到硅硬件的具体现实。

构建健壮语言的艺术

从本质上讲，栈展开是运行时系统赠予语言设计者的礼物，是一个强大的原语，可以在其上构建具有强大表达力和安全性的特性。考虑一个常见的需求：无论一段代码如何结束，都必须执行一个清理动作，比如关闭文件或释放锁。一个天真的程序员可能会把清理代码放在代码块的末尾，但如果中途发生错误怎么办？或者如果函数有多个 return 点呢？

现代语言为这个问题提供了优雅的解决方案，而它们都建立在栈展开的基础之上。像 Java 和 Python 中的 try...finally 结构，或 Go 中的 defer 语句，都是语言作出的承诺：当控制流离开某个作用域时，一个特定的清理代码块将始终运行。实现这样的特性需要编译器与展开机制紧密合作。它会生成一个与当前函数栈帧相关联的“延迟动作”列表。如果函数正常返回，一段称为“尾声代码”(epilogue)的小代码会执行这些动作。如果异常触发了展开，展开器本身会查阅这个列表，在销毁栈帧并继续寻找处理程序之前执行相同的动作。

当与面向对象编程结合时，这一原则变得更加强大，C++ 的“资源获取即初始化”（RAII）习语就是典范。其思想简单而深刻：将资源的生命周期与一个栈分配对象的生命周期绑定。当对象被创建时，它获取资源（例如，打开一个文件，锁定一个互斥锁）。语言保证当该对象离开作用域时，其析构函数——即其清理代码——会被自动调用。但真正使其健壮的是，“离开作用域”包括在栈展开过程中被销毁。

实现细节揭示了编译器生成的结构之间优美的相互作用。在异常期间，当通过基类指针删除派生类对象时，系统如何知道要按正确的顺序（先派生类，后基类）调用析构函数？答案在于虚方法表（vtable），它不仅包含指向虚函数的指针，还包含用于不同类型析构的专门条目。展开过程会触发一次到“删除析构函数”(deleting destructor)的虚分派，该函数会协调整个清理过程，确保在最终回收内存之前，对象的每一层都被正确地剥离。这种细致的、自动化的清理，使得 C++ 程序员能够自信地编写异常安全的代码。

在展开过程中进行资源管理的挑战也延伸到了函数式编程和自动内存管理的世界。当一个资源被一个闭包——一个携带自身变量环境的函数——“捕获”，而该闭包逃逸了其原始作用域时，会发生什么？如果一个异常展开了创建该闭包的栈帧，运行时系统必须足够聪明，不能过早地释放被捕获的资源。诸如引用计数或带终结器的垃圾回收等解决方案被用来管理闭包环境的生命周期，确保资源仅在闭包本身变得不可达时才被释放，而不仅仅是当其创建栈帧消失时。

有时，被管理的资源不是内存，而是像网络 I/O 这样不可回滚的操作。在这里，我们可以与数据库事务做一个有力的类比。一个 try 代码块可以被看作一个事务，而 finally 代码块则是运行以 commit 或 abort 它的代码。如果发生异常，finally 代码块必须为任何已经发生的 I/O 执行补偿行为。为了稳健地构建它，特别是在面对嵌套异常时，清理代码本身必须是幂等的——多次运行它必须与运行一次具有相同的效果。这可以通过仔细的簿记来实现，例如使用带有状态位的预写日志来跟踪哪些补偿已经执行，从而确保在不引入新错误的情况下恢复秩序。

通往更广阔世界的桥梁：并发、系统与安全

虽然展开机制为语言设计者赋能，但其影响远不止于此。它是工程可靠系统的一个关键组成部分，尤其是在以困难著称的并发编程领域。多线程应用中一个常见且灾难性的错误是由忘记释放互斥锁引起的死锁。一个线程获取一个锁以进入临界区，但一个意外的异常导致控制流跳出，跳过了 release 调用。该锁被永久持有，任何其他等待它的线程都将无限期阻塞。整个系统陷入停顿。解决方案正是 RAII 或 try...finally 模式，它利用栈展开来保证无论发生什么，锁都会被释放。

展开与原子性之间的这种相互作用也以更高级的形式出现，例如在具有事务内存的系统中。如果从事务内部抛出异常，系统必须首先中止事务，丢弃其所有对内存的推测性更改，然后才允许异常传播。这确保了程序状态保持一致，这一原则必须明确地设计到编译器的中间表示和运行时系统中。

展开过程本身依赖于对程序结构的清晰理解。当它遍历栈时，它遵循的是函数调用的动态链——谁调用了谁——这记录在每个栈帧的控制链接中。它不遵循词法嵌套的静态链（访问链接），后者用于变量查找。这一区别对于正确定位动态上最近的异常处理程序至关重要。

展开作为系统范围仲裁者的角色，在不同执行环境的边界处变得最为清晰。考虑一个托管运行时，如 Java 虚拟机或 .NET 的公共语言运行时，通过外部函数接口（FFI）调用原生 C 或 C++ 代码。如果原生代码抛出一个 C++ 异常会发生什么？如果栈上的托管帧没有向系统的原生展开器宣告它们的存在及其清理协议，那么异常将传播到一个充满不可理解元数据的虚空中。展开器将会失败，很可能终止整个进程并跳过所有托管的清理例程。唯一稳健的解决方案是在边界处构建一个“展开适配器”——一小段原生代码，它捕获任何及所有外来异常，将它们转换为托管运行时的原生异常类型，然后重新抛出它们。这种审慎的转换尊重了每个运行时错误处理模型的主权。

这种将展开视为非标准控制流的观念对安全具有深远的影响。像控制流完整性（CFI）这样的现代安全防御措施旨在通过确保所有间接分支和返回都指向有效的、预期的位置来防止攻击者劫持程序的执行。一个常见的 CFI 实现使用内存中的“影子栈”来存储有效返回地址的受保护副本。当异常展开真正的调用栈时，安全机制必须以锁步方式展开影子栈，这是绝对必要的。对于从硬件栈弹出的每一个帧，都必须从影子栈中弹出相应的返回地址。若不这样做，将导致影子栈失步，使其在稍后错误地将一个合法的 return 标记为攻击，或者更糟的是，让一个真正的攻击未被察觉。

软件与硬件之间的对话

或许最令人惊讶和优美的联系，是高级软件构造“栈展开”与处理器底层微体系结构之间的联系。为了加速程序执行，现代 CPU 包含一个小型、快速的硬件栈，称为返回地址栈（RAS）。当执行 call 指令时，其返回地址被推入 RAS。当出现 return 指令时，CPU 预测程序将返回到 RAS 顶部的地址。对于正常的程序流，这种预测高度准确。

然而，当软件异常展开栈超过（比如说） $N$ 个帧时，相应的 $N$ 条 return 指令从未被执行。这会在硬件的 RAS 上留下 $N$ 个过时的地址。接下来确实执行的 $N$ 条 return 指令将全部被错误预测，因为 CPU 从 RAS 中取出了错误的地址。这会导致代价高昂的流水线刷新，并可能显著降低性能。硬件本身无法知道软件刚刚执行了这次非局部跳转。

这该如何修复？它需要操作系统或语言运行时的展开器与 CPU 之间的直接对话。解决方案是引入一条新的特权指令——我们称之为 $\mathrm{RAS\_POP}\ N$ ——软件可以在展开完成后执行它。在退役这条指令时，硬件会从其 RAS 中弹出 $N$ 个条目，使其状态与软件的现实重新同步。这也可以集成到异常返回指令本身。这种软硬件协同设计，即一个软件事件被明确地传达给微体系结构以维持性能，是计算系统深层、统一本质的完美例证。

从确保互斥锁被释放到保持硬件预测器同步，栈展开不再仅仅是错误处理的一个细节，而是贯穿现代计算中每个抽象层次的秩序、安全和性能的基本原则。它证明了这样一个事实：在软件与硬件的复杂舞蹈中，即使是优雅退出的行为，也是一个经过精心编排且意义深远的事件。