下面這篇文章講的很好。
http://www.cnblogs.com/lihaosky/articles/1606502.html
假設我們有這樣的一個類:
class Base {
public:
virtual void f() { cout << "Base::f" <<>
virtual void g() { cout << "Base::g" <<>
virtual void h() { cout << "Base::h" <<>
};
按照上面的說法,我們可以通過Base的實例來得到虛函數表。 下面是實際例程:
typedef void(*Fun)(void);
Base b;
Fun pFun = NULL;
cout << "虛函數表地址:" << (int*)(&b) <<>
cout << "虛函數表 — 第一個函數地址:" << (int*)*(int*)(&b) <<>
// Invoke the first virtual function
pFun = (Fun)*((int*)*(int*)(&b));
pFun();
實際運行經果如下:(Windows XP+VS2003, Linux 2.6.22 + GCC 4.1.3)
虛函數表地址:0012FED4
虛函數表 — 第一個函數地址:0044F148
Base::f
通過這個示例,我們可以看到,我們可以通過強行把&b轉成int *,取得虛函數表的地址,然后,再次取址就可以得到第一個虛函數的地址了,也就是Base::f(),這在上面的程序中得到了驗證(把int* 強制轉成了函數指針)。通過這個示例,我們就可以知道如果要調用Base::g()和Base::h(),其代碼如下:
(Fun)*((int*)*(int*)(&b)+0); // Base::f()
(Fun)*((int*)*(int*)(&b)+1); // Base::g()
(Fun)*((int*)*(int*)(&b)+2); // Base::h()
*注:事實上上面的代碼在我的機子上並不能打印出 Base::g() 和 Base::h()。發現這個函數的指針的大小是8bytes,所以給int指針加一只加了4個bytes,所以打印出來了segmentation fault,所以最好先得到Fun的大小然后根據他來加,在我的機子上給加2就可以正確打出g和h了。
一般繼承(無虛函數覆蓋)
一般繼承(有虛函數覆蓋)
多重繼承(無虛函數覆蓋)
我們可以看到:
1) 每個父類都有自己的虛表。
2) 子類的成員函數被放到了第一個父類的表中。(所謂的第一個父類是按照聲明順序來判斷的)
多重繼承(有虛函數覆蓋)
看看我們可以用虛函數表來干點什么壞事吧。
一、通過父類型的指針訪問子類自己的虛函數
我們知道,子類沒有重載父類的虛函數是一件毫無意義的事情。因為多態也是要基於函數重載的。雖然在上面的圖中我們可以看到Base1的虛表中有Derive的虛函數,但我們根本不可能使用下面的語句來調用子類的自有虛函數:
Base1 *b1 = new Derive();
b1->f1(); //編譯出錯
任何妄圖使用父類指針想調用子類中的未覆蓋父類的成員函數的行為都會被編譯器視為非法,所以,這樣的程序根本無法編譯通過。但在運行時,我們可以通過指針的方式訪問虛函數表來達到違反C++語義的行為。(關於這方面的嘗試,通過閱讀后面附錄的代碼,相信你可以做到這一點)
二、訪問non-public的虛函數
另外,如果父類的虛函數是private或是protected的,但這些非public的虛函數同樣會存在於虛函數表中,所以,我們同樣可以使用訪問虛函數表的方式來訪問這些non-public的虛函數,這是很容易做到的。
如:
class Base {
private:
virtual void f() { cout << "Base::f" <<>
};
class Derive : public Base{
};
typedef void(*Fun)(void);
void main() {
Derive d;
Fun pFun = (Fun)*((int*)*(int*)(&d)+0);
pFun();
}