ZH奶酪：C语言中malloc()和free()函数解析

1、malloc()和free()的基本介绍

（1）函数原型及说明

void *malloc(long NumBytes)

该函数分配了NumBytes个字节，并返回了指向这块内存的指针。如果分配失败，则返回一个空指针（NULL）。

void free(void *FirstByte)

该函数是将之前用malloc分配的空间还给程序或者是操作系统，也就是释放了这块内存，让它重新得到自由。

（2）函数基本用法

char *Ptr = NULL;
Ptr = (char *)malloc(100 * sizeof(char));
if (NULL == Ptr){
    exit (1);
}
gets(Ptr);
// code...
free(Ptr);
Ptr = NULL;
// code...

（3）注意事项

　　<1> 使用malloc申请了内存空间之后，必须检查是否分配成功；

　　<2>当不需要在使用申请的内存时，一定要使用free释放，然后把指向这块内存的指针指向NULL，防止后边的程序使用该指针时出错；

　　<3>malloc与free函数是配对使用的：

　　　　malloc之后无free会导致内存泄漏；

　　　　无缘无故free相当于什么也没做；

　　　　调用多次free会出现错误（空指针除外）；

　　<4>虽然malloc函数的类型是void *，任何类型的指针都可以转换成void *，但是还是最好在前边进行强制转换，否则一些编译器不会通过；

2、malloc()申请的空间从哪里来？

（1）malloc()到底从哪里得到了内存空间？

　　答案是从堆里面获得空间。也就是说函数返回的指针是指向堆里面的一块内存。操作系统中有一个记录空闲内存地址的链表。当操作系统收到程序的申请时，就会遍历该链表，然后就寻找第一个空间大于所申请空间的堆结点，然后就将该结点从空闲结点链表中删除， 并将该结点的空间分配给程序。

（2）什么是堆？什么是栈？

　　堆是大家共有的空间，分全局堆和局部堆。全局堆就是所有没有分配的空间，局部堆就是用户分配的空间。堆在操作系统对进程 初始化的时候分配，运行过程中也可以向系统要额外的堆，但是记得用完了要还给操作系统，要不然就是内存泄漏。

　　栈是线程独有的，保存其运行状态和局部自动变量的。栈在线程开始的时候初始化，每个线程的栈互相独立。每个函数都有自己的栈，栈被用来在函数之 间传递参数。操作系统在切换线程的时候会自动的切换栈，就是切换SS/ESP寄存器。栈空间不需要在高级语言里面显式的分配和释放。

　　也就是说，栈是由编译器自动分配释放，存放函数的参数值、局部变量的值等。操作方式类似于数据结构中的栈。堆一般由程序员分配释放，若不释放，程序结束时可能由OS回收。注意这里说是可能，并非一定。所以我想再强调一次，记得要释放！

　　注意这里说的“堆”与数据结构中的堆是两回事，分配方式倒是类似于链表。

（3）在“栈”中的函数里申请“堆”里的空间，函数返回时，会自动释放吗？

　　不会。

　　举个例子，如果你在函数上面定义了一个指针变量，然后在这个函数里申请了一块内存让指针指向它。实际上，这个指针的地址是在栈上，但是它所指向的内容却是在堆上面的！这一点要注意！所以，再想想，在一个函数里申请了空间后，比如说下面这个函数：

// code...
void Function(void)
{
    char *p = (char *)malloc(100 * sizeof(char));
} 

　　就这个例子，千万不要认为函数返回，函数所在的栈被销毁指针也跟着销毁，申请的内存也就一样跟着销毁了！这绝对是错误的！因为申请的内存在堆上，而函数所在的栈被销毁跟堆完全没有啥关系。所以，还是那句话：记得释放！

（4）free到底释放了什么？

　　free()释放的是指针指向的内存！注意！释放的是内存，不是指针！这点非常非常重 要！指针是一个变量，只有程序结束时才被销毁。释放了内存空间后，原来指向这块空间的指针还是存在！只不过现在指针指向的内容的垃圾，是未定义的，所以说 是垃圾。因此，前面我已经说过了，释放内存后把指针指向NULL，防止指针在后面不小心又被解引用了。非常重要啊这一点！

3、malloc()以及free()的机制

　　看一下free()的函数原型，也许也会发现似乎很神奇，free()函数非常简单，只有一个参数，只要把指向申请空间的指针传递给free()中的参数就可以完成释放工作！这里要追踪到malloc()的申请问题了。申请的时候实际上占用的内存要比申请的大。因为超出的空间是用来记录对这块内存的管理信息。先看一下在《UNIX环境高级编程》中第七章的一段话：

 大多数实现所分配的存储空间比所要求的要稍大一些，额外的空间用来记录管理信息——分配
块的长度，指向下一个分配块的指针等等。这就意味着如果写过一个已 分配区的尾端，则会改
写后一块的管理信息。这种类型的错误是灾难性的，但是因为这种错误不会很快就暴露出来，
所以也就很难发现。将指向分配块的指针向后移 动也可能会改写本块的管理信息。

　　以上这段话已经给了我们一些信息了。malloc()申请的空间实际我觉得就是分了两个不同性质的空间。一个就是用来记录管理信息的空间，另外一个就是可用空间了。而用来记录管理信息的实际上是一个结构体。在C语言中，用结构体来记录同一个对象的不同信息是天经地义的事！下面看看这个结构体的原型：

struct mem_control_block {
    int is_available;    //这是一个标记
    int size;            //这是实际空间的大小
}; 

　　所以，free()就是根据这个结构体的信息来释放malloc()申请的空间！而结构体的两个成员的大小我想应该是操作系统的事了。但是这里有一个问 题，malloc()申请空间后返回一个指针应该是指向第二种空间，也就是可用空间！不然，如果指向管理信息空间的话，写入的内容和结构体的类型有可能不 一致，或者会把管理信息屏蔽掉，那就没法释放内存空间了，所以会发生错误！

　　下面看看free()的源代码

// code...
void free(void *ptr)
{
    struct mem_control_block *free;
    free = ptr - sizeof(struct mem_control_block);
    free->is_available = 1;
    return;
} 

　　看一下函数第二句，这句就是把指向可用空间的指针倒回去，让它指向管理信息的那块空间，因为这里是在值上减去了一个结构体的大小！后面那一句free->is_available = 1;这里is_available应该只是一个标记而已！因为从这个变量的名称上来看，is_available 翻译过来就是“是可以用”。这个变量的值 是1，表明是可以用的空间！

　　当然，这里可能还是有人会有疑问，为什么这样就可以释放呢？释放是操作系统的事，那么就free()这个源代码来看， 什么也没有释放，对吧？但是它确实是确定了管理信息的那块内存的内容。所以，free()只是记录了一些信息，然后告诉操作系统那块内存可以去释放。

参考博文：

http://blog.csdn.net/r91987/article/details/6337032

http://blog.csdn.net/wang_zheng_kai/article/details/18605843