C++安全编码红线：Core Guidelines明确禁止的10种写法【避免生产事故】

Core Guidelines 不禁止语法，而是禁用易致未定义行为等高风险写法：禁用裸 new/delete（R.11），推荐智能指针；operator[]需配合调试检查或改用at()；string_view不可长期持有临时对象；移动语义须显式使用。

Core Guidelines 并不“禁止”写法，而是对高风险模式给出明确 don't 建议，并提供可验证、可自动检测的替代方案。真正要避开的不是语法本身，而是那些在现代 C++ 工程中极易引发未定义行为、内存泄漏、竞态或静默截断的惯性写法。

用 new / delete 手动管理堆内存

这不是语法错误，但 Core Guidelines 的 R.11 明确指出：不要裸调用 new 或 delete。裸指针无法表达所有权，且几乎不可能在异常路径下保证配对释放。

• 改用 std::make_unique 或 std::make_shared 构造智能指针
• 函数返回裸指针？→ 改为返回 std::unique_ptr（转移所有权）或 std::shared_ptr（共享所有权）
• 类成员含裸 int*？→ 改为 std::vector 或 std::unique_ptr

auto p = std::make_unique(42);  // ✅ 安全、异常安全、自动析构
int* q = new int{42};                 // ❌ Core Guidelines R.11: don't

使用 std::vector::operator[] 而不检查索引

operator[] 不做边界检查，越界访问是未定义行为（UB），而 at() 会抛 std::out_of_range —— 这不是性能妥协，是调试与发布行为一致性的基础。

• 开发阶段必须启用 -D_GLIBCXX_DEBUG（GCC）或 _ITERATOR_DEBUG_LEVEL=2（MSVC），让 operator[] 在 debug 模式下也检查
• 若性能敏感且能静态证明索引合法（如循环变量 i ），可用 operator[]；否则一律用 v.at(i)
• 注意：范围 for 循环（for (auto& x : v)）天然安全，优先选用

把 std::string_view 作为长期存储或返回局部字符串的视图

std::string_view 是非拥有型视图，Core Guidelines ES.31 强烈警告：不要用它保存指向临时对象或栈内存的引用。

灵光

蚂蚁集团推出的全模态AI助手

下载

立即学习“C++免费学习笔记（深入）”；

• ❌ return std::string_view{"hello"}; → 字面量生命周期 OK，但易误导；更糟的是 return std::string_view{s.c_str()} 其中 s 是局部 std::string
• ✅ 返回 std::string 或 const std::string&（当确定引用对象生命周期长于调用方）
• ✅ 函数参数用 std::string_view 接收（避免不必要的拷贝），但绝不把它存进类成员或容器里，除非你 100% 控制底层数据生命周期

忽略移动语义，盲目拷贝大对象

Core Guidelines C.64 要求：对可移动类型，优先移动而非拷贝。尤其在返回局部对象、传参、容器插入时，编译器不会自动帮你“选最优”，你得显式写对。

• 函数返回局部 std::vector？→ 编译器可能 RVO，但别依赖；确保函数签名不阻止移动（例如返回 const std::vector& 就禁掉了移动）
• 向 std::vector<:string> 插入？→ 用 v.emplace_back(std::move(s))，而不是 v.push_back(s)
• 类中含 std::string 成员？→ 自定义移动构造/赋值函数，或用 = default 让编译器生成（前提是没手动写拷贝操作）

std::vector build_names() {
    std::vector v;
    v.emplace_back("Alice");  // ✅ 直接构造，无拷贝无移动
    std::string tmp = "Bob";
    v.emplace_back(std::move(tmp));  // ✅ 显式移动，避免拷贝
    return v;  // ✅ RVO + 移动返回值，高效
}

真正危险的从来不是某条规则本身，而是你认为“我这段代码没出过问题，所以没问题”。Core Guidelines 的每条 don't 都对应着真实生产环境里难以复现、日志难查、重启才消失的事故。最常被跳过的其实是编译器警告（-Wall -Wextra -Wconversion）和 sanitizer（-fsanitize=address,undefined）——它们比任何指南都早一步告诉你哪行代码正在越界或用错符号。