使用linux宏access_ok()有什么意义

我一直在做一些研究，我对这个宏有点困惑。希望有人能给我一些指导。我有一些 ioctl 代码（我继承的，而不是编写的），它做的第一件事是检查是否access_ok()在继续从用户空间复制数据之前：

#define __lddk_copy_from_user(a,b,c) copy_from_user(a,b,c)
#define __lddk_copy_to_user(a,b,c) copy_to_user(a,b,c)

long can_ioctl(struct file *file, unsigned int cmd, unsigned long arg)
{
  switch(cmd) {
    case COMMAND:
      if(! access_ok(VERIFY_READ, (void *)arg, sizeof(Message_par_t)))
        return(retval); 

      if(! access_ok(VERIFY_WRITE, (void *)arg, sizeof(Message_par_t)))
        return(retval); 

      argp = &Command;
      __lddk_copy_from_user( (void *) argp,(Command_par_t *) arg, sizeof(Command_par_t));

所以代码工作得很好，但我不确定是否需要它。第一个问题来自 access_ok 返回的描述：

• 如果该区域可能可访问，则该函数返回非零（尽管访问仍可能导致 -EFAULT）。该函数只是检查该地址是否可能在用户空间中，而不是在内核中。

所以这意味着它实际上什么也不做，只是确保我们正在检查的指针是probably在用户空间初始化？因为我们知道除了用户空间调用之外我们无法进入这个函数，并且除非我们打开该设备的有效文件描述符，否则它不会发生，这真的需要吗？它真的比确保我们没有得到 NULL 指针更安全吗？

第二个问题来自这个描述：

• 类型参数可以指定为 VERIFY_READ 或 VERIFY_WRITE。 VERIFY_WRITE 符号还标识内存区域是否可读和可写。

这是否意味着我的代码中的第一次检查是多余的？如果我们要检查可写区域，我们可以免费读取吗？

我使用的是 x86 架构，因此 access_ok() 和 __range_no_ok() 的定义来自 /usr/src/linux-3.1.10-1.16/arch/x86/include/asm/uaccess.h ，如下所示：

#define access_ok(type, addr, size) (likely(__range_not_ok(addr, size) == 0))

#define __range_not_ok(addr, size)                  \
({                                  \
    unsigned long flag, roksum;                 \
    __chk_user_ptr(addr);                       \
    asm("add %3,%1 ; sbb %0,%0 ; cmp %1,%4 ; sbb $0,%0"     \
        : "=&r" (flag), "=r" (roksum)               \
        : "1" (addr), "g" ((long)(size)),               \
          "rm" (current_thread_info()->addr_limit.seg));        \
    flag;                               \
})

If __lddk_copy_from_user()只需调用copy_from_user()，那么access_ok()检查是多余的，因为copy_from_user()自己执行这些检查。

The access_ok()检查确保用户空间应用程序不会要求内核读取或写入内核地址（它们是完整性/安全检查）。仅仅因为指针是由用户空间提供的，并不意味着它绝对是用户空间指针 - 在许多情况下，“内核指针”仅意味着它指向虚拟地址空间的特定区域。

另外，调用access_ok() with VERIFY_WRITE暗示VERIFY_READ，因此如果您检查前者，则无需同时检查后者。