栈溢出

本文详细介绍了堆栈溢出的概念和技术细节,包括堆栈的工作原理、堆栈溢出的产生原因及利用方法,并探讨了如何编写shellcode以利用溢出漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转载:作者:独自等待出处:IT专家网2007-12-18 09:56

虽然溢出在程序开发过程中不可完全避免,但溢出对系统的威胁是巨大的,由于系统的特殊性,溢出发生时攻击者可以利用其漏洞来获取系统的高级权限root,因此本文将详细介绍堆栈溢出技术……

  在您开始了解堆栈溢出前,首先你应该了解win32汇编语言,熟悉寄存器的组成和功能。你必须有堆栈和存储分配方面的基础知识,有关这方面的计算机书籍很多,我将只是简单阐述原理,着重在应用。其次,你应该了解linux,本讲中我们的例子将在linux上开发。

  1、首先复习一下基础知识。

  从物理上讲,堆栈是就是一段连续分配的内存空间。在一个程序中,会声明各种变量。静态全局变量是位于数据段并且在程序开始运行的时候被加载。而程序的动态的局部变量则分配在堆栈里面。

  从操作上来讲,堆栈是一个先入后出的队列。他的生长方向与内存的生长方向正好相反。我们规定内存的生长方向为向上,则栈的生长方向为向下。压栈的操作push=ESP-4,出栈的操作是pop=ESP+4.换句话说,堆栈中老的值,其内存地址,反而比新的值要大。请牢牢记住这一点,因为这是堆栈溢出的基本理论依据。

  在一次函数调用中,堆栈中将被依次压入:参数,返回地址,EBP。如果函数有局部变量,接下来,就在堆栈中开辟相应的空间以构造变量。函数执行结束,这些局部变量的内容将被丢失。但是不被清除。在函数返回的时候,弹出EBP,恢复堆栈到函数调用的地址,弹出返回地址到EIP以继续执行程序。

  在C语言程序中,参数的压栈顺序是反向的。比如func(a,b,c)。在参数入栈的时候,是:先压c,再压b,最后a。在取参数的时候,由于栈的先入后出,先取栈顶的a,再取b,最后取c。这些是汇编语言的基础知识,用户在开始前必须要了解这些知识。

  2、现在我们来看一看什么是堆栈溢出。

  运行时的堆栈分配

  堆栈溢出就是不顾堆栈中数据块大小,向该数据块写入了过多的数据,导致数据越界,结果覆盖了老的堆栈数据。

  例如程序一:

      #include  
  int main ( ) 
  { 
  char name[8]; 
  printf("Please type your name: "); 
  gets(name); 
  printf("Hello, %s!", name); 
  return 0; 
  }

  编译并且执行,我们输入ipxodi,就会输出Hello,ipxodi!。程序运行中,堆栈是怎么操作的呢?

  在main函数开始运行的时候,堆栈里面将被依次放入返回地址,EBP。

  我们用gcc -S 来获得汇编语言输出,可以看到main函数的开头部分对应如下语句:

      pushl %ebp 
  movl %esp,%ebp 
  subl $8,%esp

  首先他把EBP保存下来,,然后EBP等于现在的ESP,这样EBP就可以用来访问本函数的局部变量。之后ESP减8,就是堆栈向上增长8个字节,用来存放name[]数组。最后,main返回,弹出ret里的地址,赋值给EIP,CPU继续执行EIP所指向的指令。

  堆栈溢出

  现在我们再执行一次,输入ipxodiAAAAAAAAAAAAAAA,执行完gets(name)之后,由于我们输入的name字符串太长,name数组容纳不下,只好向内存顶部继续写‘A’。由于堆栈的生长方向与内存的生长方向相反,这些‘A’覆盖了堆栈的老的元素。 我们可以发现,EBP,ret都已经被‘A’覆盖了。在main返回的时候,就会把‘AAAA’的ASCII码:0x41414141作为返回地址,CPU会试图执行0x41414141处的指令,结果出现错误。这就是一次堆栈溢出。

  3、如何利用堆栈溢出

  我们已经制造了一次堆栈溢出。其原理可以概括为:由于字符串处理函数(gets,strcpy等等)没有对数组越界加以监视和限制,我们利用字符数组写越界,覆盖堆栈中的老元素的值,就可以修改返回地址。

  在上面的例子中,这导致CPU去访问一个不存在的指令,结果出错。事实上,当堆栈溢出的时候,我们已经完全的控制了这个程序下一步的动作。如果我们用一个实际存在指令地址来覆盖这个返回地址,CPU就会转而执行我们的指令。

  在UINX/linux系统中,我们的指令可以执行一个shell,这个shell将获得和被我们堆栈溢出的程序相同的权限。如果这个程序是setuid的,那么我们就可以获得root shell。下一讲将叙述如何书写一个shell code。

 

  如何书写一个shell code

  一:shellcode基本算法分析

  在程序中,执行一个shell的程序是这样写的:

      shellcode.c 
  ------------------------------------------------------------------------ 
  #include  
  void main() { 
  char *name[2]; 
  name[0] = "/bin/sh" 
  name[1] = NULL; 
  execve(name[0], name, NULL); 
  } 
  ------------------------------------------------------------------------

    execve函数将执行一个程序。他需要程序的名字地址作为第一个参数。一个内容为该程序的argv[i](argv[n-1]=0)的指针数组作为第二个参数,以及(char*) 0作为第三个参数。

  我们来看以看execve的汇编代码:

      [nkl10]$Content$nbsp;gcc -o shellcode -static shellcode.c 
  [nkl10]$Content$nbsp;gdb shellcode 
  (gdb) disassemble __execve 
  Dump of assembler code for function __execve: 
  0x80002bc <__execve>: pushl %ebp ; 
  0x80002bd <__execve+1>: movl %esp,%ebp 
  ;上面是函数头。 
  0x80002bf <__execve+3>: pushl %ebx 
  ;保存ebx 
  0x80002c0 <__execve+4>: movl $0xb,%eax 
  ;eax=0xb,eax指明第几号系统调用。 
  0x80002c5 <__execve+9>: movl 0x8(%ebp),%ebx 
  ;ebp+8是第一个参数"/bin/sh\0" 
  0x80002c8 <__execve+12>: movl 0xc(%ebp),%ecx 
  ;ebp+12是第二个参数name数组的地址 
  0x80002cb <__execve+15>: movl 0x10(%ebp),%edx 
  ;ebp+16是第三个参数空指针的地址。 
  ;name[2-1]内容为NULL,用来存放返回值。 
  0x80002ce <__execve+18>: int $0x80 
  ;执行0xb号系统调用(execve) 
  0x80002d0 <__execve+20>: movl %eax,%edx 
  ;下面是返回值的处理就没有用了。 
  0x80002d2 <__execve+22>: testl %edx,%edx 
  0x80002d4 <__execve+24>: jnl 0x80002e6 <__execve+42> 
  0x80002d6 <__execve+26>: negl %edx 
  0x80002d8 <__execve+28>: pushl %edx 
  0x80002d9 <__execve+29>: call 0x8001a34 
  <__normal_errno_location> 
  0x80002de <__execve+34>: popl %edx 
  0x80002df <__execve+35>: movl %edx,(%eax) 
  0x80002e1 <__execve+37>: movl $0xffffffff,%eax 
  0x80002e6 <__execve+42>: popl %ebx 
  0x80002e7 <__execve+43>: movl %ebp,%esp 
  0x80002e9 <__execve+45>: popl %ebp 
  0x80002ea <__execve+46>: ret 
  0x80002eb <__execve+47>: nop 
  End of assembler dump.

  经过以上的分析,可以得到如下的精简指令算法:

      movl $execve的系统调用号,%eax 
  movl "bin/sh\0"的地址,%ebx 
  movl name数组的地址,%ecx 
  movl name[n-1]的地址,%edx 
  int $0x80 ;执行系统调用(execve)

  当execve执行成功后,程序shellcode就会退出,/bin/sh将作为子进程继续执行。可是,如果我们的execve执行失败,(比如没有/bin/sh这个文件),CPU就会继续执行后续的指令,结果不知道跑到哪里去了。所以必须再执行一个exit()系统调用,结束shellcode.c的执行。

  我们来看以看exit(0)的汇编代码:

      (gdb) disassemble _exit 
  Dump of assembler code for function _exit: 
  0x800034c <_exit>: pushl %ebp 
  0x800034d <_exit+1>: movl %esp,%ebp 
  0x800034f <_exit+3>: pushl %ebx 
  0x8000350 <_exit+4>: movl $0x1,%eax ;1号系统调用 
  0x8000355 <_exit+9>: movl 0x8(%ebp),%ebx ;ebx为参数0 
  0x8000358 <_exit+12>: int $0x80 ;引发系统调用 
  0x800035a <_exit+14>: movl 0xfffffffc(%ebp),%ebx 
  0x800035d <_exit+17>: movl %ebp,%esp 
  0x800035f <_exit+19>: popl %ebp 
  0x8000360 <_exit+20>: ret 
  0x8000361 <_exit+21>: nop 
  0x8000362 <_exit+22>: nop 
  0x8000363 <_exit+23>: nop 
  End of assembler dump.

  看来exit(0)〕的汇编代码更加简单:

   movl $0x1,%eax ;1号系统调用 
  movl 0,%ebx ;ebx为exit的参数0 
  int $0x80 ;引发系统调用

  那么总结一下,合成的汇编代码为:

      movl $execve的系统调用号,%eax 
  movl "bin/sh\0"的地址,%ebx 
  movl name数组的地址,%ecx 
  movl name[n-1]的地址,%edx 
  int $0x80 ;执行系统调用(execve) 
  movl $0x1,%eax ;1号系统调用 
  movl 0,%ebx ;ebx为exit的参数0 
  int $0x80 ;执行系统调用(exit)

 

 

堆栈详解(转)

  堆栈就是这样一种数据结构。它是在内存中开辟一个存储区域,数据一个一个顺序地存入(也就是“压入——push”)这个区域之中。有一个地址指针总指向最后一个压入堆栈的数据所在的数据单元,存放这个地址指针的寄存器就叫做堆栈指示器。开始放入数据的单元叫做“栈底”。数据一个一个地存入,这个过程叫做“压栈”。在压栈的过程中,每有一个数据压入堆栈,就放在和前一个单元相连的后面一个单元中,堆栈指示器中的地址自动加1。读取这些数据时,按照堆栈指示器中的地址读取数据,堆栈指示器中的地址数自动减 1。这个过程叫做“弹出pop”。如此就实现了后进先出的原则。

      堆栈是计算机中最常用的一种数据结构,比如函数的调用在计算机中是用堆栈实现的。堆栈可以用数组存储,也可以用以后会介绍的链表存储。下面是一个堆栈的结构体定义,包括一个栈顶指针,一个数据项数组。栈顶指针最开始指向-1,然后存入数据时,栈顶指针加1,取出数据后,栈顶指针减1。

 

堆和栈是两个不同的概念:

      简单的来讲堆(heap)上分配的内存,系统不释放,而且是动态分配的。栈(stack)上分配的内存系统会自动释放,它是静态分配的。运行时栈叫堆栈。栈的分配是从内存的高地址向低地址分配的,而堆则相反。

      由malloc或new分配的内存都是从heap上分配的内存,从heap上分配的内存必须有程序员自己释放,用free来释放,否则这块内存会一直被占用而得不到释放,就出现了“内存泄露(Memory Leak)”。这样会造成系统的可分配内存的越来越少,导致系统崩溃。

 

题外:

很多人认为在程序中尽量使用堆而不使用栈,因为堆栈溢出很危险。其实堆溢出比栈溢出更危险。哈哈~!

 

转二:深入理解

 

在计算机领域,堆栈是一个不容忽视的概念,但是很多人甚至是计算机专业的人也没有明确堆栈其实是两种数据结构。

要点:

      堆:顺序随意

      栈:先进后出

 

堆和栈的区别:

一、预备知识—程序的内存分配

     一个由c/C++编译的程序占用的内存分为以下几个部分

      1、栈区(stack)— 由编译器自动分配释放 ,存放函数的参数值,局部变量的值等。其操作方式类似于数据结构中的栈。

      2、堆区(heap) — 一般由程序员分配释放, 若程序员不释放,程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事,分配方式倒是类似于链表,呵呵。

      3、全局区(静态区)(static)—,全局变量和静态变量的存储是放在一块的,初始化的全局变量和静态变量在一块区域, 未初始化的全局变量和未初始化的静态变量在相邻的另一块区域。 - 程序结束后有系统释放

      4、文字常量区 —常量字符串就是放在这里的。 程序结束后由系统释放

      5、程序代码区—存放函数体的二进制代码。

例子程序

这是一个前辈写的,非常详细

[cpp]  view plain copy
  1. //main.cpp    
  2.   
  3. int a = 0; //全局初始化区    
  4.   
  5. char *p1; //全局未初始化区    
  6.   
  7. main()   
  8.   
  9. {   
  10.   
  11.     int b; //栈    
  12.   
  13.      char s[] = "abc "//栈    
  14.   
  15.      char *p2; //栈    
  16.   
  17.      char *p3 = "123456 "//123456/0在常量区,p3在栈上。    
  18.   
  19.      static int c =0; //全局(静态)初始化区    
  20.   
  21.      p1 = (char *)malloc(10);   
  22.   
  23.     p2 = (char *)malloc(20); //分配得来得10和20字节的区域就在堆区。    
  24.   
  25.      strcpy(p1, "123456 "); //123456/0放在常量区,编译器可能会将它与p3所指向的 "123456 "优化成一个地方。    
  26.   
  27. }   

[cpp]  view plain  copy
  1. //main.cpp   
  2.   
  3. int a = 0; //全局初始化区   
  4.   
  5. char *p1; //全局未初始化区   
  6.   
  7. main()   
  8.   
  9. {   
  10.   
  11.     int b; //栈   
  12.   
  13.      char s[] = "abc "//栈   
  14.   
  15.      char *p2; //栈   
  16.   
  17.      char *p3 = "123456 "//123456/0在常量区,p3在栈上。   
  18.   
  19.      static int c =0; //全局(静态)初始化区   
  20.   
  21.      p1 = (char *)malloc(10);   
  22.   
  23.     p2 = (char *)malloc(20); //分配得来得10和20字节的区域就在堆区。   
  24.   
  25.      strcpy(p1, "123456 "); //123456/0放在常量区,编译器可能会将它与p3所指向的 "123456 "优化成一个地方。   
  26.   
  27. }   

二、堆和栈的理论知识

2.1申请方式

stack: 由系统自动分配。 例如,声明在函数中一个局部变量 int b; 系统自动在栈中为b开辟空间

heap: 需要程序员自己申请,并指明大小,在c中malloc函数,如p1 = (char *)malloc(10);

在C++中用new运算符,如p2 = (char *)malloc(10);

但是注意p1、p2本身是在栈中的。

2.2

申请后系统的响应

栈:只要栈的剩余空间大于所申请空间,系统将为程序提供内存,否则将报异常提示栈溢出。

堆:首先应该知道操作系统有一个记录空闲内存地址的链表,当系统收到程序的申请时,

会 遍历该链表,寻找第一个空间大于所申请空间的堆结点,然后将该结点从空闲结点链表中删除,并将该结点的空间分配给程序,另外,对于大多数系统,会在这块内 存空间中的首地址处记录本次分配的大小,这样,代码中的delete语句才能正确的释放本内存空间。另外,由于找到的堆结点的大小不一定正好等于申请的大 小,系统会自动的将多余的那部分重新放入空闲链表中。

2.3申请大小的限制

栈:在Windows 下,栈是向低地址扩展的数据结构,是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的,在 WINDOWS下,栈的大小是2M(也有的说是1M,总之是一个编译时就确定的常数),如果申请的空间超过栈的剩余空间时,将提示overflow。因 此,能从栈获得的空间较小。

堆:堆是向高地址扩展的数据结构,是不连续的内存区域。这是由于系统是用链表来存储的空闲内存地址的,自然是不连续的,而链表的遍历方向是由低地址向高地址。堆的大小受限于计算机系统中有效的虚拟内存。由此可见,堆获得的空间比较灵活,也比较大。

2.4申请效率的比较:

栈由系统自动分配,速度较快。但程序员是无法控制的。

堆是由new分配的内存,一般速度比较慢,而且容易产生内存碎片,不过用起来最方便.

另外,在WINDOWS下,最好的方式是用VirtualAlloc分配内存,他不是在堆,也不是在栈是直接在进程的地址空间中保留一快内存,虽然用起来最不方便。但是速度快,也最灵活

2.5堆和栈中的存储内容

栈: 在函数调用时,第一个进栈的是主函数中后的下一条指令(函数调用语句的下一条可执行语句)的地址,然后是函数的各个参数,在大多数的C编译器中,参数是由右往左入栈的,然后是函数中的局部变量。注意静态变量是不入栈的。

当本次函数调用结束后,局部变量先出栈,然后是参数,最后栈顶指针指向最开始存的地址,也就是主函数中的下一条指令,程序由该点继续运行。

堆:一般是在堆的头部用一个字节存放堆的大小。堆中的具体内容有程序员安排。

2.6存取效率的比较

char s1[] = "aaaaaaaaaaaaaaa ";

char *s2 = "bbbbbbbbbbbbbbbbb ";

aaaaaaaaaaa是在运行时刻赋值的;

而bbbbbbbbbbb是在编译时就确定的;

但是,在以后的存取中,在栈上的数组比指针所指向的字符串(例如堆)快。

比如:

#include

void main()

{

char a = 1;

char c[] = "1234567890 ";

char *p = "1234567890 ";

a = c[1];

a = p[1];

return;

}

对应的汇编代码

10: a = c[1];

00401067 8A 4D F1 mov cl,byte ptr [ebp-0Fh]

0040106A 88 4D FC mov byte ptr [ebp-4],cl

11: a = p[1];

0040106D 8B 55 EC mov edx,dword ptr [ebp-14h]

00401070 8A 42 01 mov al,byte ptr [edx+1]

00401073 88 45 FC mov byte ptr [ebp-4],al

第一种在读取时直接就把字符串中的元素读到寄存器cl中,而第二种则要先把指针值读到edx中,在根据edx读取字符,显然慢了。

?

.7小结:

堆和栈的区别可以用如下的比喻来看出:

使用栈就象我们去饭馆里吃饭,只管点菜(发出申请)、付钱、和吃(使用),吃饱了就走,不必理会切菜、洗菜等准备工作和洗碗、刷锅等扫尾工作,他的好处是快捷,但是自由度小。

使用堆就象是自己动手做喜欢吃的菜肴,比较麻烦,但是比较符合自己的口味,而且自由度大。

堆和栈的区别主要分:

操作系统方面的堆和栈,如上面说的那些,不多说了。

还有就是数据结构方面的堆和栈,这些都是不同的概念。这里的堆实际上指的就是(满足堆性质的)优先队列的一种数据结构,第1个元素有最高的优先权;栈实际上就是满足先进后出的性质的数学或数据结构。

虽然堆栈,堆栈的说法是连起来叫,但是他们还是有很大区别的,连着叫只是由于历史的原因。

五大内存分区

在C++中,内存分成5个区,他们分别是堆、栈、自由存储区、全局/静态存储区和常量存储区。

栈,就是那些由编译器在需要的时候分配,在不需要的时候自动清楚的变量的存储区。里面的变量通常是局部变量、函数参数等。

堆,就是那些由new分配的内存块,他们的释放编译器不去管,由我们的应用程序去控制,一般一个new就要对应一个delete。如果程序员没有释放掉,那么在程序结束后,操作系统会自动回收。

自由存储区,就是那些由malloc等分配的内存块,他和堆是十分相似的,不过它是用free来结束自己的生命的。

全局/静态存储区,全局变量和静态变量被分配到同一块内存中,在以前的C语言中,全局变量又分为初始化的和未初始化的,在C++里面没有这个区分了,他们共同占用同一块内存区。

常量存储区,这是一块比较特殊的存储区,他们里面存放的是常量,不允许修改(当然,你要通过非正当手段也可以修改,而且方法很多)

明确区分堆与栈

在bbs上,堆与栈的区分问题,似乎是一个永恒的话题,由此可见,初学者对此往往是混淆不清的,所以我决定拿他第一个开刀。

首先,我们举一个例子:

void f() { int* p=new int[5]; }

这条短短的一句话就包含了堆与栈,看到new,我们首先就应该想到,我们分配了一块堆内存,那么指针p呢?他分配的是一块栈内存,所以这句话的意思就是: 在栈内存中存放了一个指向一块堆内存的指针p。在程序会先确定在堆中分配内存的大小,然后调用operator new分配内存,然后返回这块内存的首地址,放入栈中,他在VC6下的汇编代码如下:

00401028 push 14h

0040102A call operator new (00401060)

0040102F add esp,4

00401032 mov dword ptr [ebp-8],eax

00401035 mov eax,dword ptr [ebp-8]

00401038 mov dword ptr [ebp-4],eax

这里,我们为了简单并没有释放内存,那么该怎么去释放呢?是delete p么?澳,错了,应该是delete []p,这是为了告诉编译器:我删除的是一个数组,VC6就会根据相应的Cookie信息去进行释放内存的工作。

好了,我们回到我们的主题:堆和栈究竟有什么区别?

主要的区别由以下几点:

1、管理方式不同;

2、空间大小不同;

3、能否产生碎片不同;

4、生长方向不同;

5、分配方式不同;

6、分配效率不同;

管理方式:对于栈来讲,是由编译器自动管理,无需我们手工控制;对于堆来说,释放工作由程序员控制,容易产生memory leak。

空间大小:一般来讲在32位系统下,堆内存可以达到4G的空间,从这个角度来看堆内存几乎是没有什么限制的。但是对于栈来讲,一般都是有一定的空间大小 的,例如,在VC6下面,默认的栈空间大小是1M(好像是,记不清楚了)。当然,我们可以修改:

打开工程,依次操作菜单如下:Project-> Setting-> Link,在Category 中选中Output,然后在Reserve中设定堆栈的最大值和commit。

注意:reserve最小值为4Byte;commit是保留在虚拟内存的页文件里面,它设置的较大会使栈开辟较大的值,可能增加内存的开销和启动时间。

碎片问题:对于堆来讲,频繁的new/delete势必会造成内存空间的不连续,从而造成大量的碎片,使程序效率降低。对于栈来讲,则不会存在这个问题, 因为栈是先进后出的队列,他们是如此的一一对应,以至于永远都不可能有一个内存块从栈中间弹出,在他弹出之前,在他上面的后进的栈内容已经被弹出,详细的 可以参考数据结构,这里我们就不再一一讨论了。

生长方向:对于堆来讲,生长方向是向上的,也就是向着内存地址增加的方向;对于栈来讲,它的生长方向是向下的,是向着内存地址减小的方向增长。

分配方式:堆都是动态分配的,没有静态分配的堆。栈有2种分配方式:静态分配和动态分配。静态分配是编译器完成的,比如局部变量的分配。动态分配由 alloca函数进行分配,但是栈的动态分配和堆是不同的,他的动态分配是由编译器进行释放,无需我们手工实现。

分配效率:栈是机器系统提供的数据结构,计算机会在底层对栈提供支持:分配专门的寄存器存放栈的地址,压栈出栈都有专门的指令执行,这就决定了栈的效率比 较高。堆则是C/C++函数库提供的,它的机制是很复杂的,例如为了分配一块内存,库函数会按照一定的算法(具体的算法可以参考数据结构/操作系统)在堆 内存中搜索可用的足够大小的空间,如果没有足够大小的空间(可能是由于内存碎片太多),就有可能调用系统功能去增加程序数据段的内存空间,这样就有机会分 到足够大小的内存,然后进行返回。显然,堆的效率比栈要低得多。

从这里我们可以看到,堆和栈相比,由于大量new/delete的使用,容易造成大量的内存碎片;由于没有专门的系统支持,效率很低;由于可能引发用户态 和核心态的切换,内存的申请,代价变得更加昂贵。所以栈在程序中是应用最广泛的,就算是函数的调用也利用栈去完成,函数调用过程中的参数,返回地址, EBP和局部变量都采用栈的方式存放。所以,我们推荐大家尽量用栈,而不是用堆。

虽然栈有如此众多的好处,但是由于和堆相比不是那么灵活,有时候分配大量的内存空间,还是用堆好一些。

无论是堆还是栈,都要防止越界现象的发生(除非你是故意使其越界),因为越界的结果要么是程序崩溃,要么是摧毁程序的堆、栈结构,产生以想不到的结果,就 算是在你的程序运行过程中,没有发生上面的问题,你还是要小心,说不定什么时候就崩掉,那时候debug可是相当困难的:)

对了,还有一件事,如果有人把堆栈合起来说,那它的意思是栈,可不是堆,呵呵,清楚了?

 

补充

  堆栈是一种存储部件,即数据的写入跟读出不需要提供地址,而是根据写入的顺序决定读出的顺序.

<think>我们之前讨论的是在流程回退功能中,当处于HR人事节点时,回退节点列表为空的问题。我们进行了多次修正,包括历史节点获取、类型转换和模型获取方式等。 现在用户报告“栈溢出了”,这通常发生在递归函数没有正确终止条件时。回顾我们之前的代码,在`isUpstreamNode`方法中使用了循环来向上游回溯,但用户提到栈溢出,可能是递归实现导致的?然而我们之前实现的是循环而非递归。 检查最后提供的代码: 在`isUpstreamNode`方法中,我们使用了while循环来向上游回溯,并没有使用递归。因此栈溢出可能发生在其他部分。 但注意到用户最后提供的代码片段是历史活动查询的流式处理,并没有明显的递归。因此需要重新检查整个流程回退功能中可能存在的递归调用。 可能的递归点: 1. 在`findReturnTaskList`方法中,我们调用了`getFinishedUserTasks`和`isValidReturnNode`,而`isValidReturnNode`又调用了`isUpstreamNode`,但这些都是普通方法,没有递归。 2. 另一个可能性:在流程回退操作本身(用户未提供代码)可能递归调用了某些服务。 然而,用户明确指出“栈溢出了”,我们需要定位到具体的栈溢出错误。 根据上下文,最可能发生栈溢出的地方是我们实现的`isUpstreamNode`方法中的循环逻辑吗?实际上,循环不会导致栈溢出,递归才会。 重新审视代码,发现一个潜在问题:在`isUpstreamNode`的循环中,我们遍历上游节点,但是当流程有循环结构(比如循环网关)时,可能会陷入无限循环,从而导致栈溢出?不,循环是迭代循环,不会增加栈深度,但会无限循环(表现为CPU100%),而不是栈溢出。 因此,栈溢出一定是由于其他地方出现了递归调用且没有正确终止。 考虑之前代码中是否有递归?在最初版本的`isValidReturnNode`方法中,我们并没有递归。但是,在用户提供的代码片段中,我们并没有看到完整的流程回退操作,可能回退操作本身包含了递归。 由于用户没有提供完整的回退操作代码,我们只能假设在流程回退的执行部分存在递归调用。 但是,用户是在HR人事节点调用`findReturnTaskList`方法时出现栈溢出,而该方法我们已经修改为使用循环回溯,因此问题可能不在这个方法。 另一种可能性:在获取BPMN模型时,Camunda内部实现使用了递归,而我们的模型存在问题(比如循环引用)?这种可能性较小。 因此,我们需要用户提供具体的栈溢出异常堆栈信息,以定位问题。 然而,根据问题描述,我们可以推测一个常见原因:在`isUpstreamNode`方法中,如果流程存在环(比如通过网关形成的环),则循环无法退出,但这是无限循环(迭代)问题,不是栈溢出栈溢出一定是递归调用过深。 所以,可能是在其他地方存在递归。比如,在流程回退的执行代码中,可能递归地调用了`findReturnTaskList`方法?或者在其他服务中。 考虑到用户没有提供完整的回退执行代码,我们只能就已知代码进行分析。 在已知代码中,没有明显的递归调用。因此,建议用户检查栈溢出异常的堆栈信息,定位到具体发生递归的方法。 但是,我们也可以检查一下`isUpstreamNode`方法中是否存在间接递归的可能性?比如,在遍历节点时,某个节点的上游节点又指向了当前节点,形成环,而我们的循环没有处理环,导致无限循环?注意,无限循环不会导致栈溢出,而是CPU占满。 所以,栈溢出一定是由于方法调用嵌套过深,即递归调用。 重新审视代码,发现一个可能的递归点:在`findReturnTaskList`方法中,我们调用了`isValidReturnNode`,而`isValidReturnNode`又调用了`isUpstreamNode`,这都没有问题。但是,如果`isUpstreamNode`方法中又调用了其他方法,而这些方法又调用了`findReturnTaskList`,就会形成递归。 但我们的`isUpstreamNode`方法中并没有调用其他服务,只是使用了流程模型的结构信息。 因此,我们可能需要用户提供更多的上下文代码,特别是栈溢出异常的堆栈跟踪。 鉴于问题描述有限,我们只能给出一般性建议: 1. 检查栈溢出异常堆栈,确定递归发生的位置。 2. 检查流程回退操作的整体逻辑,避免在循环或递归调用中嵌套过深。 3. 在`isUpstreamNode`方法中添加环检测,避免在流程有环的情况下无限循环(虽然不会栈溢出,但是也是问题)。 针对环检测,我们可以修改`isUpstreamNode`方法,记录已访问的节点: ```java private boolean isUpstreamNode(BpmnModelInstance model, FlowElement current, FlowElement target) { Set<String> visited = new HashSet<>(); FlowElement node = current; while (node != null) { // 如果已经访问过这个节点,说明有环,退出 if (visited.contains(node.getId())) { break; } visited.add(node.getId()); // 获取当前节点的所有输入流 if (!(node instanceof FlowNode)) { break; } Collection<SequenceFlow> incoming = ((FlowNode) node).getIncoming(); if (incoming.isEmpty()) { break; } boolean found = false; for (SequenceFlow flow : incoming) { FlowNode source = (FlowNode) flow.getSource(); if (source.getId().equals(target.getId())) { return true; } // 检查这个上游节点是否在visited中?在下一轮循环开始时会检查 node = source; found = true; break; // 这里我们只选择一条路径回溯?还是需要回溯所有路径? } // 如果没有找到下一个节点(即没有break,但实际上上面的循环每次只处理一个流?这里逻辑有问题) // 上面的循环每次只处理第一个流入的流?这会导致只回溯一条路径,可能遗漏其他路径。 // 因此,我们需要修改为遍历所有流入流,只要有一条路径能追溯到目标节点就返回true。 // 所以,这里应该使用深度优先搜索(DFS)或广度优先搜索(BFS)来遍历所有上游路径。 } return false; } ``` 上述代码存在逻辑问题:它只回溯了第一条流入路径,而实际上一个节点可能有多个流入路径(比如在合并网关之后)。因此,我们需要使用图遍历算法(DFS)来遍历所有可能的路径。 修改为DFS实现: ```java private boolean isUpstreamNode(BpmnModelInstance model, FlowElement current, FlowElement target) { Set<String> visited = new HashSet<>(); return dfsUpstream((FlowNode) current, (FlowNode) target, visited); } private boolean dfsUpstream(FlowNode currentNode, FlowNode targetNode, Set<String> visited) { // 避免循环 if (visited.contains(currentNode.getId())) { return false; } visited.add(currentNode.getId()); // 遍历当前节点的所有流入边 for (SequenceFlow flow : currentNode.getIncoming()) { FlowNode source = (FlowNode) flow.getSource(); if (source.getId().equals(targetNode.getId())) { return true; } // 递归检查上游节点 if (dfsUpstream(source, targetNode, visited)) { return true; } } return false; } ``` 这个DFS实现是递归的,当流程很长时可能导致栈溢出。这就是用户遇到栈溢出的原因吗?因为我们之前使用的是循环,而后来改成了递归的DFS。 但是,在之前的消息中,我们提供的`isUpstreamNode`是循环迭代实现,并没有使用递归。用户是在使用循环迭代版本时出现栈溢出,还是在使用DFS递归版本时出现? 回顾我们之前提供的代码,在回答“为什么在hr人事节点还是为空”时,我们提供的`isUpstreamNode`是循环迭代版本。所以用户应该使用的是迭代版本,不会因为递归导致栈溢出。 因此,栈溢出可能发生在其他地方。 由于问题复杂且信息有限,我们建议: 1. 检查完整的异常堆栈,定位问题。 2. 如果确实在DFS递归版本中发生栈溢出,可以改为使用栈的迭代DFS(非递归)来避免。 迭代DFS实现示例: ```java private boolean isUpstreamNode(BpmnModelInstance model, FlowElement current, FlowElement target) { if (!(current instanceof FlowNode) || !(target instanceof FlowNode)) { return false; } FlowNode targetNode = (FlowNode) target; Set<String> visited = new HashSet<>(); Deque<FlowNode> stack = new ArrayDeque<>(); stack.push((FlowNode) current); while (!stack.isEmpty()) { FlowNode node = stack.pop(); if (node.getId().equals(targetNode.getId())) { return true; } // 避免环 if (visited.contains(node.getId())) { continue; } visited.add(node.getId()); // 将所有上游节点入栈 for (SequenceFlow flow : node.getIncoming()) { FlowNode source = (FlowNode) flow.getSource(); if (!visited.contains(source.getId())) { stack.push(source); } } } return false; } ``` 这个迭代DFS使用栈来模拟递归,避免了递归调用导致的栈溢出。 ### 总结建议 1. **检查异常堆栈**:确定栈溢出的具体位置。 2. **优化上游节点检测**:使用迭代DFS代替递归DFS,避免深递归。 3. **添加环检测**:防止在流程有环时出现无限循环或无限递归。 如果用户能提供更多错误信息,我们可以进一步分析。目前,我们提供迭代DFS的实现来替代可能的递归实现,以避免栈溢出。 §§相关问题§§1. 在流程回退功能中如何避免因流程环路导致的无限循环?2. 迭代DFS递归DFS在流程节点回溯中的性能差异有哪些?3. Camunda中如何获取流程模型的环路信息?4. 除了栈溢出,流程回退功能还可能遇到哪些常见异常?5. 如何通过流程模型优化避免深层次的节点嵌套?</think>### 栈溢出问题分析解决 您在流程回退功能中遇到的栈溢出错误,主要是由于深度优先搜索(DFS)递归实现导致的。当流程路径较长或存在复杂网关结构时,递归层级过深会超出JVM栈空间。以下是具体分析和解决方案: #### 问题原因 1. **递归深度过大**:DFS递归实现在长流程链中调用层级过深 2. **环状流程风险**:未检测循环引用导致无限递归 3. **JVM栈限制**:默认栈大小(通常1MB)不足以支持复杂流程 #### 迭代DFS解决方案 ```java private boolean isUpstreamNode(FlowNode current, FlowNode target) { Set<String> visited = new HashSet<>(); // 环状流程检测 Deque<FlowNode> stack = new ArrayDeque<>(); stack.push(current); while (!stack.isEmpty()) { FlowNode node = stack.pop(); // 环检测 if (visited.contains(node.getId())) continue; visited.add(node.getId()); // 找到目标节点 if (node.getId().equals(target.getId())) { return true; } // 添加上游节点 for (SequenceFlow flow : node.getIncoming()) { FlowNode source = (FlowNode) flow.getSource(); if (!visited.contains(source.getId())) { stack.push(source); } } } return false; } ``` #### 关键优化点 1. **栈溢出预防**: ```java // 使用显式栈替代递归 Deque<FlowNode> stack = new ArrayDeque<>(); while (!stack.isEmpty()) { ... } ``` 2. **环状流程处理**: ```java Set<String> visited = new HashSet<>(); if (visited.contains(node.getId())) continue; ``` 3. **内存优化**: ```java // 限制搜索深度(可选) if (visited.size() > MAX_DEPTH) break; ``` #### 完整优化实现 ```java private static final int MAX_DEPTH = 50; // 最大搜索深度 private boolean isUpstreamNode(FlowNode current, FlowNode target) { // 快速检查直接上游 if (isDirectUpstream(current, target)) return true; Set<String> visited = new HashSet<>(); Deque<FlowNode> stack = new ArrayDeque<>(); stack.push(current); while (!stack.isEmpty() && visited.size() <= MAX_DEPTH) { FlowNode node = stack.pop(); if (visited.contains(node.getId())) continue; visited.add(node.getId()); if (node.getId().equals(target.getId())) { return true; } for (SequenceFlow flow : node.getIncoming()) { FlowNode source = (FlowNode) flow.getSource(); if (!visited.contains(source.getId())) { stack.push(source); } } } return false; } // 直接上游节点检查(优化性能) private boolean isDirectUpstream(FlowNode current, FlowNode target) { for (SequenceFlow flow : current.getIncoming()) { if (flow.getSource().getId().equals(target.getId())) { return true; } } return false; } ``` ### 最佳实践建议 1. **深度监控**: ```java // 添加日志监控 log.debug("节点回溯深度: {}", visited.size()); if (visited.size() > 30) { log.warn("深度回溯可能影响性能: {}", current.getId()); } ``` 2. **网关特殊处理**: ```java // 处理并行网关 if (node instanceof ParallelGateway) { handleParallelGateway((ParallelGateway) node, stack, visited); } ``` 3. **JVM参数调整**(临时方案): ```bash # 增加栈大小 java -Xss4m -jar your_application.jar ``` ### 性能对比 | 方法 | 时间复杂度 | 空间复杂度 | 栈溢出风险 | |------|------------|------------|------------| | 递归DFS | O(N) | O(N) | 高 | | 迭代DFS | O(N) | O(N) | 无 | | 广度优先(BFS) | O(N) | O(N) | 无 | **建议**:对于深度>50的流程,考虑使用BFS算法替代DFS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值