std::not_null 是 GSL 提供的非空指针契约工具,用于函数参数、返回值和成员变量中明确要求非空语义的场景,不适用于可能为空的情况。
std::not_null 不是标准 C++ 库的一部分,它来自 GSL(Guidelines Support Library),由 Microsoft 主导维护,用于表达“该指针绝不应为 nullptr”的契约。它本身不提供运行时检查,也不改变底层指针行为,而是靠编译期约束和静态分析辅助提升安全性。
什么时候该用 not_null 而不是裸指针或 std::shared_ptr?
核心场景是:函数参数、返回值、成员变量中,你**明确要求调用方/使用者必须传入有效地址,且空值在逻辑上无意义**。
- 函数形参声明为
not_null<t></t>,能阻止传入字面量nullptr或明显未检查的指针(如f(not_null<int>(p))</int>若p是nullptr,某些编译器+GSL 实现会在构造时触发断言) - 类成员若代表“始终拥有一个有效对象”,比如
class Window { not_null<hwnd> hwnd_; };</hwnd>,比HWND hwnd_;更具语义强度 - 避免误用
std::shared_ptr:当不需要所有权管理、仅需非空引用时,not_null<t></t>开销更小、意图更清晰 - 不适用于可能为空的场景(如可选资源、缓存未命中),此时应继续用
T*、std::optional<t></t>或std::unique_ptr
常见误用与坑点
not_null 的安全收益高度依赖使用方式——它不自动做空检查,也不拦截运行时解引用空指针。
- 从原始指针构造时未校验:
not_null<int>(p)</int>若p已是nullptr,多数 GSL 实现在 debug 模式下会assert,但 release 模式下可能静默通过(取决于实现和宏定义,如GSL_UNENFORCED_ON_CONTRACT_VIOLATION) - 忽略隐式转换限制:不能直接赋值
nullptr,但可通过static_cast绕过,失去防护意义 - 与智能指针混用易混淆:
not_null<:shared_ptr>></:shared_ptr>合法但罕见;通常应选not_null<t></t>+ 由外部确保生命周期,或直接用std::shared_ptr<t></t>表达所有权 - 模板推导陷阱:写
auto p = not_null{ptr}时,若ptr类型不明确(如函数重载返回不同指针类型),可能推导失败
如何正确初始化和传递 not_null
关键原则:把空值检查提前到构造点,并让调用链上游承担非空保证责任。
立即学习“C++免费学习笔记(深入)”;
void process_data(not_null<int*> ptr) {
// 此处 ptr.get() 必不为 nullptr(假设构造时已校验)
*ptr += 1;
}
<p>int x = 42;
process_data(not_null<int*>{&x}); // ✅ 明确、安全</p><p>// ❌ 危险:p 可能为 nullptr,构造时才暴露问题
int<em> p = get_raw_ptr();
process_data(not_null<int</em>>{p}); // debug 下 assert,release 下未定义行为风险仍在</p>- 优先在可信上下文中构造:
not_null对象应在确定非空后立即创建,而非长期持有裸指针再转 - 函数返回
not_null时,必须确保所有代码路径都返回有效指针(否则需抛异常或终止,不能返回nullptr) - 配合 clang-tidy 或 CppCoreGuidelines 检查器,可捕获
not_null构造前缺少空检查的模式
真正起作用的安全性,不在 not_null 自身,而在它迫使你在接口设计阶段显式回答:“这里允许空吗?”——一旦答“不允许”,就必须在进入 not_null 边界前完成验证。漏掉这一步,not_null 就只是个带装饰的指针。
