本文深入探讨cpython自定义类型初始化器中安全处理对象引用的重要性。通过分析一个常见的错误模式，揭示了在更新成员属性时，直接对旧值执行`py_xdecref`可能因析构函数重入而引发的严重引用计数错误和状态不一致问题。文章对比了不安全与安全的实现方式，强调了先更新引用再释放旧引用的最佳实践，以确保对象生命周期管理和程序稳定性。

Cpython自定义类型初始化中的引用管理挑战

在CPython中开发自定义类型时，特别是在实现其初始化方法（对应Python的__init__）时，对内部成员变量的引用计数管理是至关重要的。不恰当的引用管理可能导致内存泄漏、程序崩溃或难以追踪的运行时错误。CPython教程中关于如何安全地更新类型成员的指导，强调了在处理可能包含自定义析构函数的对象时，需要特别小心。

考虑一个自定义类型CustomType，它有一个成员first，我们希望在初始化或重新初始化时更新这个成员。

不安全的初始化模式及其风险

CPython教程中明确指出，以下这种看似简洁的更新self->first成员的方式是存在风险的：

if (first) {     Py_XDECREF(self->first); // 风险点：在此处旧对象可能被销毁     Py_INCREF(first);     self->first = first; }

这种模式的风险主要体现在两个方面：析构函数重入和多线程竞争。

立即学习“Python免费学习笔记（深入）”；

析构函数重入的危害

当Py_XDECREF(self->first)被调用时，如果self->first的引用计数降为零，它的析构函数（对应Python的__del__）将被立即执行。如果这个析构函数中包含任意Python代码，并且这些代码尝试重新访问或修改当前正在被初始化的CustomType实例，就会导致严重的问题。

示例场景： 假设我们有以下Python类：

custom_instance = None # 全局变量，稍后会赋值为CustomType实例  class SomePyClass:     def __del__(self):         # 在析构函数中尝试重新初始化全局变量 custom_instance         if custom_instance:             print("SomePyClass.__del__ called, re-initializing custom_instance")             custom_instance.__init__(1, 2, 3) # 导致重入

现在，如果custom_instance.first恰好是SomePyClass的一个实例，并且当Py_XDECREF(self->first)被调用时，self->first的引用计数降为零，那么：

1. SomePyClass.__del__被调用。
2. 在__del__内部，custom_instance.__init__被再次调用。
3. custom_instance.__init__会再次执行Py_XDECREF(self->first)（即针对同一个SomePyClass实例）。

这导致了一个恶性循环：一个已经被标记为待销毁的对象，其析构函数又触发了对自身的再次Py_XDECREF。这将导致该对象的引用计数错误地降到零以下，从而引发不可预测的行为，例如内存损坏或程序崩溃。即使Python在析构函数执行期间会暂时增加对象的引用计数以防止其被立即回收，但这种递归的Py_XDECREF仍然会破坏引用计数的完整性，并导致资源管理混乱。

百度文心百中

百度大模型语义搜索体验中心

22

查看详情

引用计数错误分析

在上述重入场景中，当custom_instance.__init__被第二次调用时，它会再次尝试对self->first（即那个正在被销毁的SomePyClass实例）执行Py_XDECREF。这意味着：

• 该SomePyClass实例的引用计数在正常流程中已降至0并触发析构。
• 在析构函数内部，它再次被Py_XDECREF，导致引用计数进一步错误地减少。
• 同时，新的first值被赋给self->first，但旧的（正在被销毁的）SomePyClass实例可能在引用计数错误的状态下被替换，而新的first值也可能没有正确地递增引用计数（如果Py_XDECREF发生在其之前）。

安全的初始化模式

为了避免上述风险，CPython教程推荐以下安全的初始化模式：

if (first) {     PyObject *tmp = self->first; // 临时保存旧引用     Py_INCREF(first);           // 递增新引用的计数     self->first = first;        // 更新成员指向新引用     Py_XDECREF(tmp);            // 递减旧引用的计数 }

安全性解析

这种模式的安全性在于其操作顺序：

1. *`PyObject tmp = self->first;**: 首先，将当前self->first的引用临时存储在一个局部变量tmp`中。
2. Py_INCREF(first);: 立即递增即将赋给self->first的新对象first的引用计数。这确保了在任何情况下，新对象在被赋给成员之前都获得了正确的引用。
3. self->first = first;: 将新对象first赋给self->first。此时，CustomType实例的first成员已经指向了新的、引用计数正确的对象。
4. Py_XDECREF(tmp);: 最后，对之前临时保存的旧对象tmp执行Py_XDECREF。

为什么这样是安全的？

• 避免析构函数重入干扰： 当Py_XDECREF(tmp)被调用时，即使tmp的析构函数被触发，它也无法再通过self->first访问到当前CustomType实例的旧值。因为self->first已经更新为新的对象。这意味着即使析构函数尝试重新初始化custom_instance，它也会作用于一个已经更新了first成员的实例，从而避免了对同一对象的递归Py_XDECREF。
• 保证引用计数的原子性（逻辑上）： 这种模式确保了在self->first指向新对象之前，新对象的引用计数已经递增。而在self->first更新之后，旧对象的引用计数才递减。这在逻辑上提供了一种更“原子”的更新方式，降低了在多线程环境中发生竞态条件的风险（尽管C API操作本身并非完全原子，但这种模式减少了在关键更新期间的脆弱性）。

总结与最佳实践

在CPython自定义类型中处理成员变量的引用更新时，务必遵循“先递增新引用，再更新成员，最后递减旧引用”的模式。这种模式可以有效避免因旧对象析构函数重入而导致的引用计数错误和程序不稳定。

• 总是先Py_INCREF新值。
• 然后将新值赋给成员。
• 最后Py_XDECREF旧值。

这一原则不仅适用于初始化器，也适用于任何需要替换对象成员引用的场景。它体现了CPython C API编程中对引用计数机制深入理解的重要性，是构建健壮、稳定扩展模块的关键。