clarify offset function safety concerns

author Ralf Jung <post@ralfj.de>

Tue, 24 Jul 2018 16:23:10 +0000 (18:23 +0200)

committer Ralf Jung <post@ralfj.de>

Tue, 24 Jul 2018 16:23:10 +0000 (18:23 +0200)
author Ralf Jung <post@ralfj.de>
Tue, 24 Jul 2018 16:23:10 +0000 (18:23 +0200)
committer Ralf Jung <post@ralfj.de>
Tue, 24 Jul 2018 16:23:10 +0000 (18:23 +0200)
diff --git a/src/libcore/ptr.rs b/src/libcore/ptr.rs

index d020e14be4cbdd8a6dba3e445e6af0e08dc4404e..be82ab44cd1fcbf3b00d40ce528652d0aebc223d 100644 (file)
--- a/src/libcore/ptr.rs
+++ b/src/libcore/ptr.rs
@@ -591,7 +591,7 @@ pub unsafe fn as_ref<'a>(self) -> Option<&'a T> {
      /// Behavior:
      ///
      /// * Both the starting and resulting pointer must be either in bounds or one
-    ///   byte past the end of an allocated object.
+    ///   byte past the end of *the same* allocated object.
      ///
      /// * The computed offset, **in bytes**, cannot overflow an `isize`.
      ///
@@ -643,9 +643,15 @@ pub unsafe fn offset(self, count: isize) -> *const T where T: Sized {
      ///
      /// The resulting pointer does not need to be in bounds, but it is
      /// potentially hazardous to dereference (which requires `unsafe`).
+    /// In particular, the resulting pointer may *not* be used to access a
+    /// different allocated object than the one `self` points to. In other
+    /// words, `x.wrapping_offset(y.wrapping_offset_from(x))` is
+    /// *not* the same as `y`, and dereferencing it is undefined behavior
+    /// unless `x` and `y` point into the same allocated object.
      ///
      /// Always use `.offset(count)` instead when possible, because `offset`
-    /// allows the compiler to optimize better.
+    /// allows the compiler to optimize better.  If you need to cross object
+    /// boundaries, cast the pointer to an integer and do the arithmetic there.
      ///
      /// # Examples
      ///
@@ -1340,7 +1346,7 @@ pub unsafe fn as_ref<'a>(self) -> Option<&'a T> {
      /// Behavior:
      ///
      /// * Both the starting and resulting pointer must be either in bounds or one
-    ///   byte past the end of an allocated object.
+    ///   byte past the end of *the same* allocated object.
      ///
      /// * The computed offset, **in bytes**, cannot overflow an `isize`.
      ///
@@ -1391,9 +1397,15 @@ pub unsafe fn offset(self, count: isize) -> *mut T where T: Sized {
      ///
      /// The resulting pointer does not need to be in bounds, but it is
      /// potentially hazardous to dereference (which requires `unsafe`).
+    /// In particular, the resulting pointer may *not* be used to access a
+    /// different allocated object than the one `self` points to. In other
+    /// words, `x.wrapping_offset(y.wrapping_offset_from(x))` is
+    /// *not* the same as `y`, and dereferencing it is undefined behavior
+    /// unless `x` and `y` point into the same allocated object.
      ///
      /// Always use `.offset(count)` instead when possible, because `offset`
-    /// allows the compiler to optimize better.
+    /// allows the compiler to optimize better.  If you need to cross object
+    /// boundaries, cast the pointer to an integer and do the arithmetic there.
      ///
      /// # Examples
      ///
author	Ralf Jung <post@ralfj.de>
	Tue, 24 Jul 2018 16:23:10 +0000 (18:23 +0200)
committer	Ralf Jung <post@ralfj.de>
	Tue, 24 Jul 2018 16:23:10 +0000 (18:23 +0200)